DÍA 8 / 2018

Guía de seguridad en WordPress

Roxana Falasco
Roxana Falasco
10.10.2018

¿Tienes un sitio web o blog con WordPress? ¿Cómo gestionas el tema de la seguridad? En esta guía descubrirás desde los pasos básicos y fundamentales para mantener tu WordPress libre de atacantes hasta técnicas menos utilizadas pasando por plugins que evitarán que tu WordPress sea hackeado ¿Estás listo? ¡Comencemos! 😉

Si tienes un sitio web, probablemente estés utilizando WordPress ya que actualmente se estima que un 30% de las webs del mundo están hechas en WordPress. Por ello es muy importante que si eres uno de los propietarios de un sitio web en WordPress mantengas tu página web segura y con segura me refiero a que sea a prueba de hackers o por lo menos que cumpla unos estándares mínimos de seguridad para no llevarte algún día la desagradable sorpresa de encontrar tu web hackeada.

Vamos a ver entonces, desde lo más básico que deberías hacer, hasta algunas técnicas algo menos utilizadas por la mayor parte de personas que administran su propio WordPress.

Medidas de seguridad básicas en todo blog con WordPress

Mantener WordPress actualizado

Puede resultar obvio pero no veas la cantidad de blogs que hoy en día aún se encuentran en versiones muy antiguas de WordPress. Ten en cuenta que es fundamental para evitar la mayor parte de hackeos hacia tu blog, contar con una versión de WordPress actualizada. Las últimas versiones no solo añaden mejoras, sino que en la mayor parte de los casos corrigen bugs y vulnerabilidades que un atacante podría aprovechar. Recomendación: antes de actualizar tu wordpress realiza una copia de seguridad tanto de los archivos como de la base de datos ya que, al actualizarlo, por ejemplo, podrían dejarte de funcionar plugins que aún no han sido adaptados a esa versión específica.

Mantener los plugins y temas actualizados y que hayan sido obtenidos de sitios seguros

Al igual que debes mantener tu WordPress actualizado también es sumamente importante que mantengas tus plugins y temas actualizados. Otro punto importante es que no te descargues plugins de sitios webs que no son de confianza, sobre todo de sitios webs piratas, donde puedes obtener un plugin de pago completamente gratis. Puedes correr el riesgo de que contenga un código malicioso y hacer tu web vulnerable.

Realizar copias de seguridad

Hacer copias de seguridad de manera regular es importantísimo ya que si por algún error o despiste tu wordpress deja de funcionar o es hackeado, podrás restaurar tu sitio web y a una versión no demasiado antigua. Aunque depende de la frecuencia con la que publiques, yo te recomendaría al menos realizar una copia de seguridad tanto de los archivos como de la base de datos una vez por semana. Obviamente no mantengas la copia de seguridad en el mismo lugar donde tienes alojado tu WordPress, ya que si un atacante accede a tu hosting podría borrarte todo lo que tu directorio de usuario contiene, por lo que perderías así también la copia de seguridad.

Con estos tres puntos básicos comentados, los cuales espero que pongas en práctica desde ya 😉 vamos a ver otros 7 puntos que te recomiendo seguir si quieres que tu blog con WordPress sea más seguro:

1. Si tu nombre de usuario es "admin" ¡Cámbialo ya!

Antiguamente, en las primeras versiones de WordPress el nombre de usuario predeterminado de administrador era "admin". Teniendo en cuenta que el nombre de usuario constituye la mitad de las credenciales de inicio de sesión, esto facilitó a los hackers a realizar ataques por fuerza bruta intentando averiguar la contraseña de los administradores.

Afortunadamente, hoy en día esto ya no es así, y puedes asignarle a tu usuario el nombre de usuario que quieras, aún así hay gente que sigue utilizando, por comodidad, ya que le es más fácil de recordar, el nombre de usuario admin para su blog.

Si eres tú uno de esos usuarios que tiene de nombre de usuario "admin" ya lo estás cambiando. ¿Y cómo puedes cambiarlo? Existen diferentes métodos:

  • Si no puedes cambiar el nombre de usuario, crea un nuevo usuario administrador y elimina el antiguo.
  • Utilizando el plugin Username Changer.
  • Actualiza el nombre de usuario directamente cambiándolo en la Base de Datos, puedes utilizar phpMyAdmin para que te resulte más cómodo y sencillo. Antes de tocar la Base de Datos de tu WordPress te recomiendo hacer una copia de seguridad.
Plugin Username Changer
Plugin Username Changer

2. Deshabilita la edición de archivos desde WordPress

Como probablemente ya sabrás WordPress viene con un editor de código incorporado que te permite editar tanto los temas como los archivos de los plugins directamente desde el área de administración. Esta característica aunque pueda suponer en principio una ventaja para editar tus archivos más cómodamente, pero también puede suponer un riesgo de seguridad, por lo que te recomiendo deshabilitar esta opción.

¿Cómo puedes deshabilitar el uso del editor? Puede hacer esto fácilmente agregando el siguiente código en tu archivo wp-config.php

define ('DISALLOW_FILE_EDIT', true);

3. Deshabilita la ejecución de archivos PHP en determinados directorios de WordPress

Otra medida para reforzar la seguridad de WordPress es deshabilitar la ejecución de archivos PHP en directorios donde no es necesario, como por ejemplo /wp-content/uploads/.

Para ello, simplemente abre un editor de texto plano (Bloc de notas, Text Edit, ...) y pega este código:

deny from all

A continuación, guarda el archivo en el directorio /wp-content/uploads/ con el nombre .htaccess.

4. Limita los intentos fallidos de inicio de sesión

De forma predeterminada, WordPress permite a los usuarios intentos ilimitados de inicio de sesión. Esto deja a tu blog vulnerable frente ataques por fuerza bruta. Un hacker podría intentar descifrar la contraseña intentando iniciar sesión probando diferentes combinaciones.

Por suerte esto se puede solucionar fácilmente limitando los intentos de inicio de sesión fallidos que un usuario puede hacer.

¿Cómo limitamos los intentos fallidos? Instala y activa el plugin Login LockDown.

Después de activarlo, accede a Configuración > Login LockDown para configurar el plugin. En la configuración podrás indicar cuantos intentos fallidos le permites al usuario, cuanto tiempo tiene que pasar entre intentos, etc.

Plugin Login LockDown
Plugin Login LockDown

5. No permitas la indexación y navegación de determinados directorios

Un hacker podría utilizar la exploración de directorios para intentar averiguar si tienes algún archivo con vulnerabilidades conocidas para de este modo aprovecharse de esos archivos con vulnerabilidades para obtener acceso de admin en tu blog.

¿Cómo podemos realizar esta tarea? Conéctate a su sitio web mediante FTP o mediante el administrador de archivos de tu cPanel. Localiza el archivo .htaccess en el directorio raíz de tu sitio web (recuerda que se trata de una archivo oculto, así que tal vez tengas que modificar la configuración de tu cliente de FTP para ver archivos ocultos) y edítalo, agregando la siguiente línea al final del archivo .htaccess:

Options -Indexes

Guarda el archivo y súbelo en la misma ruta dónde se encontraba antes (sobrescribiendo el anterior, por lo que te recomiendo hacer una copia antes de modificarlo).

6. Deshabilita XML-RPC en tu blog

XML-RPC se incluye de forma predeterminada en WordPress desde su versión 3 porque ayuda a conectar tu sitio WordPress con aplicaciones web y móviles.

Sin embargo, XML-RPC puede amplificar significativamente los ataques por fuerza bruta a tu blog.

Por ejemplo, inicialmente si un hacker quisiera probar 100 contraseñas diferentes en tu blog, tendría que realizar 100 intentos de inicio de sesión separados que serían detectados y bloqueados por el plugin de bloqueo de inicios de sesión fallidos que comentamos en uno de los puntos anteriores.

Pero con XML-RPC, un hacker puede usar la función system.multicall para probar miles de contraseñas con solo realizar 20 o 40 solicitudes.

Es por eso que si no utilizas XML-RPC, te recomiendo que lo desactives.

Hay varias formas de desactivar XML-RPC en WordPress, pero para no extendernos demasiado te comentaré dos opciones muy sencillas:

  • Instala el plugin Disable XML-RPC
  • Copia y pega el siguiente código en tu archivo .htaccess:
order deny,allow
deny from all
Plugin Disable XML-RPC
Plugin Disable XML-RPC

7. Cambia el nombre de tu URL de inicio de sesión

Como probablemente ya sabrás para acceder a la página de inicio de sesión debes añadir al final de la url de tu blog /wp-login.php o /wp-admin.

Cuando un hacker conoce la URL directa de tu página de inicio de sesión ya le estás dando algo de ventaja para saltarse un paso e ir a por el siguiente que es intentar forzar la contraseña.

Llegados a este punto, si has aplicado todas las recomendaciones anteriores, ya habrás restringido el número de intentos de inicio de sesión fallidos y has cambiado el nombre de usuario de admin por uno menos predecible. Ahora toca reemplazar la URL de inicio de sesión y deshacernos así del 99% de los ataques directos por fuerza bruta.

Cambiando la url de inicio de sesión solo aquellos usuarios que conozcan la url podrán acceder. Existen varias formas pero yo te comentaré la forma más fácil y cómoda, que es instalando el plugin Rename WPLogin. Simplemente lo instalas y posteriormente para configurar accedes a Ajustes > Enlaces Permanentes, donde podrás configurar la nueva ruta. A partir de ahí siempre que desees acceder a la página de autenticación de tu wordpress deberás indicar esa nueva ruta que has especificado. Puedes indicar el nombre que desees pero es sumamente importante que no te olvides del nombre que has puesto, sino luego ya no podrás acceder a la ventana de login, bueno, podrás acceder pero para recuperar el acceso deberás acceder a la base de datos y ver que es lo que has indicado en su momento.

Plugins Recomendados

Existen algunos plugins que nos van a facilitar más la vida a la hora de mantener nuestro sitio web seguro. Te recomiendo los siguientes tres plugins:

Wordfence

Wordfence consta de un completo conjunto de herramientas: un antivirus y analizador de malware, un firewall, analizador de visitas en tiempo real y potente sistema de bloqueos de IPs. Con Wordfence podrás monitorizar tu sitio y protegerlo de atacantes. Un plugin que no debes dejar pasar.

Plugin Wordfence
Plugin Wordfence

iThemes Security

Con iThemes Security podrás proteger tu blog, reforzando la seguridad de las contraseñas, detectando y bloqueando usuarios maliciosos, evitando ataques de fuerza bruta y repetidos intentos de accesos fallidos, así como otras 30 características más que lo convierten en uno de los plugins de seguridad más utilizados actualmente. Plugin recomendado que dispone de una versión gratuita y una más completa de pago.

Plugin iThemes Security
Plugin iThemes Security

Sucuri

Plugin de seguridad y monitoreo gratuito. Es fácil de utilizar, ligero y muy eficaz. Te permitirá monitorizar la integridad de tus archivos, comprobación de malware, verificación de seguridad y detección de incidentes entre otras muchas características.

Plugin Sucuri
Plugin Sucuri

Vídeo Curso WordPress ¡Gratis!

¿Quieres conseguir un acceso gratuito a mi Curso de WordPress? Si eres uno de los 5 primeros en acceder tendrás acceso GRATIS al vídeo curso de WordPress de más de 5 horas de duración.

Si no has podido ser de los 5 primeros no te preocupes, aquí te dejo un descuento para el Curso online de WordPress para que puedas inscribirte a un precio reducido.

Recuerda que contarás con un certificado al finalizar y con mi ayuda para resolver todas tus dudas ¡Nos vemos en clase! 😉

Roxana Falasco
Roxana Falasco

Emprendedora, bloguera profesional y experta en desarrollo web FrontEnd. Propietaria de sitios webs de temáticas nicho y de varios videocursos online. He trabajado para las más importantes e-commerce de Barcelona. En 2014 dejé mi trabajo como Responsable de Desarrollo Web FrontEnd para dedicarme 100% a mis negocios online. En la actualidad me dedico a producir, crear y publicar sitios webs y cursos online. Entre mis aficiones se encuentran: desarrollar sitios webs y video-cursos, leer libros de desarrollo personal y finanzas, viajar, la fotografía y los videojuegos.