¿Quieres asegurar completamente la instalación de tu blog creado con WordPress? WordPress es el CMS más popular en estos momentos, y si tienes una página web generada con este gestor de contenido, más te vale tener muy en cuenta la seguridad de tu sistema si no quieres tener problemas.
Te voy a dar unos cuantos consejos realmente prácticos que te van a ayudar a mejorar un 100 % la seguridad de tu blog creado con WordPress.
Nadie quiere que su página sea hackeada, y podemos seguir unos pasos sencillos para mejorar la seguridad de WordPress. Ya te voy adelantando, que tu WordPress estará bastante seguro simplemente si lo tienes actualizado: tienes que actualizar WordPress, sus plugins y los temas. Es lo más importante.
Tienes que protegerte de todos los tipos de ataques que puede sufrir una página web creada con WordPress como por ejemplo los «Pharma Hacks», ataques de fuerza bruta, redirecciones maliciosas, Cross-Site Scripting (XSS) o incluso un ataque DoS (Denial of Service).
- ¡Ojo! Un buen modo de empezar con la seguridad en WordPress es leyendo su página oficial: Seguridad.
¿Cuáles son los principales riesgos que corre tu instalación de WordPress?
El Open Web Application Security Project / Proyecto de seguridad para aplicaciones web abiertas (OWASP) dice que son las siguientes:
- A01:2021-Control de acceso roto: el 94 % de las aplicaciones sufrieron este tipo de ataque.
- A02:2021-Fallos criptográficos que a menudo conducen a la exposición de datos confidenciales o al compromiso del sistema.
- A03:2021-Inyección: el 94 % de las aplicaciones sufrieron este tipo de ataque. Cross-site Scripting ahora forma parte de esta categoría.
- A04:2021-Insecure Design: se centra en los riesgos relacionados con los defectos de diseño.
- A05:2021-Mala configuración de seguridad: el 90 % de las aplicaciones sufrieron este tipo de ataque.
- A06:2021-Vulnerable and Outdated Components
- A07:2021-Fallos de identificación y autenticación
- A08:2021 – Fallos de integridad de software y datos: actualizaciones de software, datos críticos sin verificar la integridad.
- A09:2021-Fallos de registro y monitoreo de seguridad
- A10:2021-Server-Side Request Forgery.
Guía de seguridad para WordPress: Consejos sencillos para asegurar tu blog creado con WordPress
¡Ojo! Los primeros son sencillo de seguir. Según vamos bajando vas a necesitar más conocimientos de servidores y de la forma en que se editan archivos en tu alojamiento web.
1.-Tienes que mantener actualizado WordPress
WordPress es un programa Open Source que es actualizado constantemente, y últimamente esto se puede realizar de forma sencilla.
No solo se instalarán las versiones de seguridad de manera automática, también puedes actualizar de manera automática los plugins y los temas. Incluso puedes permitir que WordPress actualice por su cuenta a versiones mayores. Todo dependerá de la complejidad de tu blog.
En el escritorio te vas a Actualizaciones y compruebas que todo está correcto. Luego puedes ir a Plugins en la misma barra lateral y comprobar que están activadas las actualizaciones automáticas.
Puedes utilizar WP-CLI si usas la línea de comandos en tu servidor. Esta opción es realmente interesante si tienes muchos blogs alojados en un mismo servidor, ya que vas a poder automatizar muchas tareas para todos ellos a la vez, como por ejemplo, la actualización de WordPress, de sus plugins o de sus temas, entre otras cosas. Estos son los comandos.
wp core update
wp core update-dbCómo actualizar WP-CLI, la herramienta de línea de comandos para gestionar WordPress
¿Cómo podemos actualizar la versión de WP-CLI? Muy sencillo, solo tenemos que volver a instalar completamente el programa con unos sencillos comandos desde una ventana de terminal accediendo con SSH a nuestro servidor.
curl -O https://raw.githubusercontent.com/wp-cli/builds/gh-pages/phar/wp-cli.phar
php wp-cli.phar –info
chmod +x wp-cli.phar
sudo mv wp-cli.phar /usr/local/bin/wpCon estos 4 sencillos comando ya estaremos utilizando la última versión de este tremendo programa, imprescindible para gestionar muchas páginas creadas con el CMS WordPress.
2.-Tienes que tener contraseñas fuertes en WordPress
En WordPress, en tu ordenador, en tu servidor, base de datos, panel de hosting, e-mail… en todos lados. Vas a necesitar un buen gestor de contraseñas para generarlas y guardarlas.
No solo tienen que tener una buena longitud, tienen que ser un largo patrón de números, letras, símbolos… Por eso hay que guardarlas en un gestor de contraseñas: nadie es capaz de recordarlas. Y todas deben ser distintas.
3.-Elegir un buen hosting para WordPress
Muy importante. Alojar tu página web en un buen servicio de almacenamiento es fundamental. Tiene que tener una buena política de seguridad, tienen que ser expertos en lo que hacen. Tienen que ofrecer buenas velocidades de conexión, buen almacenamiento…
Tienen que ofrecer un plan de copias de seguridad, tienen que soportar ataques DDOS, tiene que mantener el software del servidor actualizado, sobre todo cosas como Apache, PHP o MySQL o MariaDB (los componentes necesarios para que WordPress funcione en tu servidor).
Tienes opciones de alojamiento compartido o puedes encargarte tu mismo en un servidor VPS o Cloud.
Te puede interesar:
- Los 3 mejores VPS (servidores web de hosting) por calidad precio
- Tipos de hosting para alojar tu web o blog: hosting gratuito, compartido, WordPress, VPS, Cloud o servidor dedicado
4.-Instala un complemento de backup en WordPress: haz copias de seguridad
Ya lo he comentado en la entrada WordPress: como crear una copia de seguridad de tu blog.
En mi caso estoy usando uno de los más populares UpdraftPlus, pero hay otras opciones, tanto gratuitas como de pago. Vete probándolas y elige tu mismo.
¿Y una copia de seguridad de WordPress sin plugin? Tener un buen backup de tu blog es muy importante y probablemente sería interesante tener varios. Uno generado por tu panel de hosting (por ejemplo cPanel), otro generado por tu proveedor de hosting y otro generado por el plugin que hayas instalado.
Luego tienes que preocuparte de almacenar las copias en sitios seguros, por ejemplo Amazon S3 o Backblaze. También puedes tener una copia en tu ordenador y alguna en un disco duro externo.
5.-Instala un plugin de seguridad en WordPress
Otra de las cosas básicas que puedes hacer es instalar un complemento que se encargue de la seguridad de tu WordPress. Hay muchas opciones, tanto gratuitas como de pago, pero las más conocidas son las siguientes:
- Sucuri: Dispone de firewall, reglas de seguridad para fortalecer WordPress, escáner de malware, auditor de seguridad.
- Wordfence: el más popular de todos. Dispone de Firewall, escáner de programas maliciosos, protección contra ataques de fuerza bruta…
- Jetpack: este completo plugin ofrece también opciones de seguridad y de backup. Incluso puedes activar el acceso con el login de wordpress.com y 2FA.
- PatchStack: opción menos conocida pero también muy completa. Ofrece parches virtuales para los agujeros de seguridad.
6.-Instala un certificado SSL y que tu web sea HTTPS
Probablemente, tu servidor de alojamiento ya se haya encargado de esto por ti. Es muy importante, incluso para posicionar bien en Google.
SSL o Secure Sockets Layer es un protocolo que cifra la transferencia de datos entre su sitio web y el navegador de la gente que lo visita. ¿Qué consigues con esto? Que sea más difícil robar información.
Letsencrypt ofrece certificados gratuitos. También pues implementar SSL de manera sencilla gracias a Cloudflare.
7.-Date de alta en el plan gratuito de Cloudflare
Cloudflare te ofrece la gestión de tu DNS de manera transparente y cuando te das de alta con ellos, puedes activar muchas opciones de seguridad y rendimiento de manera gratuita: firewall (WAF), protección DDos, gestión de Bots, CDN para tus fotos (red global de entrega de contenido) y archivos estáticos.
Es muy sencillo de configurar y de verdad que se nota su presencia. Tu WordPress ira más rápido y será más seguro.
8.-Desactiva el editor de temas y plugins de WordPress
Se trata de dos funciones realmente útiles que te permiten modificar el tema y los plugins instalados directamente desde el panel de administración, pero pueden suponer un agujero de seguridad si un hacker consigue entrar a tu sitio.
Siempre puedes inhabilitar esta función y cambiar tus archivos mediante FTP. Solo tienes que añadir la siguiente línea al archivo wp-config.php:
define( 'DISALLOW_FILE_EDIT', true );9.-Habilitar la autenticación en 2 pasos (2FA)
Puedes habilitar la autenticación en dos pasos (WordPress te va a pedir un código aleatorio cada vez que hagas login) con alguno de los siguientes plugins:
- Google Authenticator
- Con WordPress.com Secure Sign On de Jetpack
- Con el plugin Two Factor Authentication
10.-Limita el número de logins en WordPress
Siempre te pueden atacar mediante fuerza bruta, así que sería interesante habilitar algún mecanismo que permita reducir el número de intentos de acceso a la web. Si se supera el número de veces permitida, la IP del atacante será bloqueada. Sin duda la mejor opción en estos momentos para activar esta función la encontramos en el plugin JetPack y su Protect Module.
Pero también puedes usar cualquiera de los complementos de seguridad que antes te he indicado. Todos tienen esta función.
11.-Escanea tu blog
Deberías activar algún sistema para escanear los archivos de Blog y ver si han sufrido cambios en algún momento. El plugin Wordfence es una excelente opción que compara tus archivos (temas y plugins) con los que puede encontrar en el repositorio de WordPress. También puedes usar Sucuri Security Scanner.
12.-Esconde la versión de tu WordPress
Por defecto, WordPress enseña la versión de tu instalación. Si lo tienes actualizado no pasa nada, en caso contrario, mejor esconder que no tienes la última versión del CMS. Solo tienes que añadir lo siguiente al archivo functions.php de tu tema:
function wpbeginner_remove_version() {
return '';
}
add_filter('the_generator', 'wpbeginner_remove_version');13.-Controla los permisos de tus archivos WordPress
Asegúrate de tener los permisos correctos en tus archivos en el servidor. Esto dependerá mucho también del tipo de alojamiento (VPS, servidor compartido), pero como regla general:
- Carpetas de WordPress: 755 o 750
- Archivos: 644 o 640
- wp-config.php: 640 (en tu propio servidor VPS, si estás en uno compartido mejor poner 440)
14.-Limita el acceso a la zona de administración de WordPress
Puedes impedir el acceso a wp-admin y wp-login.php, y permitir que solo tu IP pueda entrar en la zona de administración de tu web (Ojo si la compañía que te da acceso a internet te proporciona una IP dinámica, en ese caso mejor no seguir este consejo). Debes añadir lo siguiente al archivo .htaccess:
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^Tu dirección IP 1$
RewriteCond %{REMOTE_ADDR} !^Tu dirección IP 2$
RewriteCond %{REMOTE_ADDR} !^Tu dirección IP 3$
RewriteCond %{REMOTE_ADDR} !^Tu dirección IP 4$
RewriteCond %{REMOTE_ADDR} !^Tu dirección IP 5$
RewriteRule ^(.*)$ - [R=403,L]
</IfModule>Vía www.hongkiat.com
15.-Deshabilita la visualización de errores PHP en WordPress
No queda muy bonito cuando algún plugin ofrece sus errores a los visitantes de tu web. Podemos evitar mostrarlos de manera sencilla. Tienes que editar el archivo wp-config.php de WordPress y poner lo siguiente:
ini_set('display_errors','Off');
ini_set('error_reporting', E_ALL );
define('WP_DEBUG', false);
define('WP_DEBUG_DISPLAY', false);16.-Actualiza las «Security Keys» de WordPress
Las claves de seguridad de WordPress son un conjunto de variables aleatorias que mejoran el cifrado de la información almacenada en las cookies del usuario. Son 8 claves diferentes: AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, NONCE_KEY, AUTH_SALT, SECURE_AUTH_SALT, LOGGED_IN_SALT, NONCE_SALT.
Puedes cambiarlas en wp-config.php y se generan d emanera aleatoria en esta página de WordPress:
17.-Deshabilita la ejecución de archivos PHP en determinados directorios de WordPress
Por ejemplo, en el directorio donde se guardan las fotos que subes al blog, /wp-content/uploads/. Tienes que añadir el siguiente código en un archivo .htaccess que vas a poner en ese directorio.
<Files *.php>
deny from all
</Files>18.-Desactiva que se pueda navegar por el árbol de directorios de tu instalación de WordPress en el servidor
Tienes que conectarte a tu servidor mediante SFTP o a través del panel de control de tu alojamiento web y localizar el directorio raíz de tu instalación web. Allí creas o editas el archivo .htaccess y añades lo siguiente:
Options -Indexes19.-Añade los HTTP Security Headers
Se configuran en el ámbito del servidor y le dicen al navegador como puede manejar el contenido de tu sitio web.
Algunos son:
- Content-Security Policy
- X-XSS-Protection
- Strict-Transport-Security
- X-Frame-Options
- Public-Key-Pins
- X-Content-Type
Puedes escanear tu sitio para ver los que tienes activos con securityheaders.io.
En el caso de Apache te tienes que ir a su fichero de configuración (depende del sistema Linux que tengas instalado). En CentOS se encuentra en: /etc/httpd/conf/httpd.conf.
Puedes poner lo siguiente:
<IfModule mod_headers.c>
# Prevent MSIE from interpreting files as something else than declared by the content type in the HTTP headers.
# Requires mod_headers to be enabled.
# Header set X-Content-Type-Options: "nosniff"
Header always set X-Content-Type-Options "nosniff"
# Prevent other sites from embedding pages from this site as frames. This defends against clickjacking attacks.
# Requires mod_headers to be enabled.
# Header set X-Frame-Options: "sameorigin"
header always set x-frame-options "SAMEORIGIN"
# Block pages from loading when they detect reflected XSS attacks
# Requires mod_headers to be enabled.
# Header set X-XSS-Protection: "1; mode=block"
header always set x-xss-protection "1; mode=block"
# http a https
Header always set Content-Security-Policy "upgrade-insecure-requests;"
</IfModule>Más información en:
Deja una respuesta Cancelar la respuesta