WordPress es desde hace varios años el gestor de contenidos más empleado para construir sitios web. Esto hace que muchos hackers, atacantes y usuarios con malas intenciones traten de acceder al mismo, instalar algún software malicioso, intenten obtener información confidencial, etc.
Si piensas que estás a salvo porque tu proyecto es pequeño y no se fijarán en él, estás en un error. Circulan por internet ciertos bots, software automático, para detectar sitios realizados en WordPress y realizar una serie de comprobaciones rutinarias para detectar fallos de seguridad.
Al instalar un WordPress sin más, trabajando sólo su diseño y contenido, se está dejando la puerta abierta a que diversos tipos de ataques tengan éxito.
Te contamos algunas cosas que puedes hacer para proteger un sitio WordPress, tratar de ponérselo lo más difícil posible a tus atacantes.
Mejorando la seguridad en WordPress con estos consejos
Mantener actualizado WordPress, plugins y plantilla
A menudo se descubren agujeros de seguridad en plugins de WordPress. Si hace meses o años que no actualizas la plataforma (el propio WordPress, la plantilla utilizada y los plugins instalados) podrán aprovecharse de los agujeros de seguridad que se hayan descubierto para atacar la página.
Recomendamos que actualices todo al menos 3 o 4 veces al año.
Desinstala los componentes y usuarios no utilizados
¿Tienes instaladas varias plantillas? Elimínalas y deja solo la que estés empleando. ¿Hay plugins instalados pero que no están activos?, elimínalos también.
En ocasiones puedes encontrarte con usuarios que se han creado para realizar pruebas, o para personas que ya no trabajan o gestionan una web. Elimina todas las cuentas de usuarios que estén de más.
Cambia la URL de acceso al panel de administración
La URL para gestionar un WordPress es siempre la misma (/wp-admin). Cambia esta URL por otra para que no sea conocida.
Para ello puedes recurrir a plugins como WPS Hide Login o Easy Hide Login.
Limita los intentos de acceso fallidos al panel
No dejes que un usuario pueda tratar de acceder con un usuario y contraseña indefinidamente. Limita los intentos de acceso fallidos al panel de WordPress en 3 o 4 intentos.
Puedes hacerlo usando el plugin Limit Login Attempts Reloaded.
Cambia la cuenta del usuario admin
En muchas instalaciones de WordPress el usuario super administrador tiene como nombre de usuario admin. Cámbialo por otro nombre relevante que puedas recordar.
Cambia el prefijo de tablas de la base de datos
WordPress añade un prefijo a los nombres de sus tablas en la base datos. En instalaciones antiguas este prefijo era siempre wp_. Desde hace algunos años el prefijo se genera de forma aleatoria.
Si la instalación de un WordPress usa el prefijo wp_ para las tablas deberías cambiarlo por otro más complicado y aleatorio. Para cambiarlo puedes recurrir a algún plugin como Brozzme DB Prefix & Tools Addons o cambiar el prefijo manualmente.
Impide la ejecución de PHP en determinados directorios
PHP es un lenguaje de programación que se ejecuta en el servidor. Es el lenguaje en el que está hecho WordPress y es importante saber que puede programarse un código malicioso en este lenguaje.
Hay determinados directorios y carpetas que solo deberían contener imágenes, documentos… Un ejemplo es la carpeta /wp-content/uploads/ en la que se ubican todos los ficheros que subamos por la biblioteca de medios de WordPress.
Una medida de seguridad es la de bloquear o impedir la ejecución de ficheros PHP en carpetas en las que nunca debería haber código PHP, como la citada de uploads.
Para deshabilitar la ejecución de PHP en una carpeta basta con crear un fichero llamado .htaccess (con el bloc de notas, por ejemplo) y subirlo a la carpeta que queramos proteger. El contenido del fichero .htaccess deberá ser:
<FilesMatch “\.(php|php\.)$”> Order Allow,Deny Deny from all </FilesMatch>Otras carpetas que deberían tener bloqueada la ejecución de PHP son las utilizadas por el plugin de caché si es que se emplea alguno.
Habilitar autenticación en 2 pasos
Quizás ya lo estés usando para acceder a la banca online o algún otro servicio importante.
Con este sistema, para acceder a una web tendrás que introducir tu usuario y contraseña (paso 1) y a continuación completar la identificación con algún mecanismo adicional (paso 2), como introducir algún código enviado a un teléfono o dirección de e-mail, o utilizar alguna aplicación de autenticación como Google Auth.
Para habilitar autenticación en 2 pasos en WordPress puedes emplear algunos de estos plugins:
Realiza copias de seguridad
Seguramente tu proveedor de alojamiento disponga de herramientas para que puedas configurar copias de seguridad automáticas.
Si no es así puedes recurrir a algún plugin para realizar copias de tu WordPress, como por ejemplo Duplicator, UpdraftPlus o All-in-One WP Migration.
Procura realizar copias diarias y almacenarlas en algún lugar seguro, fuera de tu propio hosting. Una solución práctica es almacenar tus copias en servicios de almacenamiento en la nube como Google Drive o Dropbox.
Puedes leer un artículo anterior de nuestro blog si quieres saber cómo establecer una buena política de copias de seguridad.
Instala alguna suite de seguridad
Existen plugins que incorporan diversas funcionalidades para mantener tu WordPress seguro, como bloquear IPs temporalmente que hayan tratado de acceder erróneamente, escanear ficheros en busca de código malicioso, filtros antispam, etc.
Las suites de seguridad más populares para WordPress son:
Podemos realizar muchas más acciones para mantener WordPress lo más seguro posible. Teniendo en cuenta estas consideraciones habremos mejorado sensiblemente el nivel de vulnerabilidad de una web WordPress estándar.
Siempre podemos ser objeto de ataques exitosos. Al protegernos de esta manera reducimos esas probabilidades. Desanimamos a los atacantes al ver que nuestra web no es un objetivo tan fácil como otras.
