WordPress es seguro, el usuario no

WordPress es seguro, el usuario NO

Subscribe
Voiced by Amazon Polly

Esta semana me ha tocado lidiar con varias instalaciones de WordPress llenas de malware… Una auténtica locura. Y la culpa ha sido mía, por tener varios WordPress en el mismo sitio y olvidados. Algunos con contraseñas pobres y otros con varios plugins sin actualizar han sido una diana fácil.

Por eso, cómo recordatorio me gustaría recopilar en este post una serie de recomendaciones a tener en cuenta para proteger nuestras webs.

Actualiza

De verdad, hazme caso, ten tus plugins, tema y WordPress actualizado. Muchas de las actualizaciones corrigen vulnerabilidades, cómo consejo, antes de hacerlo, echa un vistazo al changelog para ver los cambios realizados, primero empieza por los plugins, luego el tema y por último el core de WordPress

Copias de seguridad

Siempre, antes de hacer nada, copia de seguridad, que no esté ubicada en el mismo servidor de la web (obviamente) y cada cierto tiempo comprobar que las copias las está realizando de manera correcta, para luego no llevarnos sorpresas.

Contraseñas robustas

Nada de números consecutivos y cuatro letras, ni os imagináis lo importante que es tener una buena contraseña. Es la primera barrera de seguridad de nuestro sitio. Acostúmbrate a cambiarlas con regularidad, tanto del usuario administrador de WordPress cómo de usuario FTP y usuarios de la BBDD. Elimina usuarios que no uses.

Doble auténtificación

Si aún quieres ir más allá, agrega una segunda autentificación para iniciar sesión en tu instalación de WordPress. puedes usar el plugin fantástico de Two Factor Authentication requiriendo la doble verificación mediante Google Authenticator o correo electrónico.

Busca un buen hosting, especializado en WordPress

Esto es la base de toda web, su ubicación y parte de la seguridad debe de residir en el propio servidor. Contrata un hosting de calidad especializado en WordPress, que te ofrezca garantías y tranquilidad. Hay muchos que te ofrecen alertas de seguridad y que te escanean las webs, es serio, si quieres dormir tranquilo invierte en un buen alojamiento.

Utiliza un buen plugin de seguridad

En el repositorio de WordPress vas a encontrar un montón de plugins para proteger nuestras instalaciones, yo voy a nombrarte 2 que son los que suelo usar. Por una parte Wordfence bastante potente con un scanner que te compara si algún archivo ha sufrido cambios (bastante útil para detectar malware) Además de tener un potente firewall, bloqueo de IPs, límite de intento de accesos etc…

Por otro lado está All In One WP Security, que es totalmente configurable con un medidor de seguridad a modo de guía. Este me gusta mucho por su personalización, eso si, tanto Wordfence como esto hay que configurarlos con mucho cuidado para no ser demasiado restrictivos, porque te puedes bloquear a ti mismo (Si, ya me ha pasado un par de veces y es muy gracioso).

Ocultar rutas

No regales información, oculta la mayor información posible, os voy a hablar de un plugin muy curioso pero a la vez algo peligroso que si no se configura bien puede llegar a romper nuestro WordPress. Se llama WP Hide & Security Enhancer que lo que te permite es cambiar las URL por defecto de WordPress con la intención de esconder que el sitio web está hecho con WordPress. Oculta archivos del nucleo, página de acceso, temas y rutas de los plugins de ser mostrados en el lado público sin cambiar ningún archivo ni directorio. Yo lo usé para un proyecto y la verdad que funciona muy bien. Utiliza técnicas de reescritura de URLs y filtros de WordPress para aplicar todas las funciones.

Eso si, os cuento que tuve un problema bastante serio usando este plugin junto a WPML, y es que al actualizarlo me petó todo, y lo solucioné desactivando este plugin y dejando las rutas como vienen por defecto. Aún estoy investigando el problema porque aparentemente si es compatible con WPML :/

Protege y usa el archivo .htaccess

El punto indica que es un archivo oculto, y es que es básico de cualquier instalación, contiene ajustes y rutas y es el primero que se carga, un fallo en el y pantallazo en blanco. Para eso, simplemente añade estas líneas de código dentro del propio archivo:

# Protege el archivo htaccess
<files .htaccess>
order allow,deny
deny from all
</files>

Protege el archivo wp-config.php

Otro archivo muy crítico de nuestra instalación de WordPress es el wp-config.php y es que en el está dirección de la BBDD, nombre usuario y contraseña. Datos muy sensibles y que debemos de cuidar. Para ello, en el archivo .htaccess añadiremos las siguientes líneas:

# proteger wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>

Cuidado con los archivos adjuntos

Es muy común ver en una instalación de WordPress infectada, en la carpeta uploads, archivos .PHP cuando no deberían de estar ahí. Para evitar que suban extensiones de archivos que no tienen que ver nada con contenidos multimedia, en el .htaccess añadiremos estas líneas, en donde especificaremos las extensiones de archivos que permitiremos:

# seguridad de subida de archivos en carpeta uploads
<Files ~ ".*\..*">
	Order Allow,Deny
	Deny from all
</Files>
<FilesMatch "\.(jpg|jpeg|jpe|gif|png|bmp|tif|tiff|doc|pdf|rtf|xls|numbers|odt|pages|key|zip|rar)$">
	Order Deny,Allow
	Allow from all
</FilesMatch>

Esconde tu versión de WordPress

Entre menos información proporciones, mejor. Ocultar la versión que estás usando de WordPress en un dato menos que tendrá nuestro posible atacante. Esto se hace simplemente añadiendo esta línea a nuestro archivo functions.php del tema hijo (activo) o nuestro plugin de configuraciones (si es que tenemos uno):

remove_action ("wp_head", "wp_generator");

Desactivar el editor de plugins y temas

Desde el backend de WordPress podemos editar los archivos de plugins y temas directamente. Una forma rápida de editar el código si tenemos alguna necesidad, pero también es una forma de poner el WordPress en peligro. Además. desde la versión 4.9 introducieron el editor CodeMirror resaltado de código por colores, líneas de código, e incluso sugerencias de funciones y aviso de errores. Algo super útil, pero a la vez peligroso porque nos hace ser, digamos, vagos de ocultar la edición de plugins y temas. Mi recomendación, ocúltalo en el archivo wp-config.php:

define( 'DISALLOW_FILE_EDIT', true );

Vincula tu web a la Google Search Console (Antigua Webmaster Tools)

Esta potente herramienta de Google para administradores de web te informa en el caso de que Google haya detectado código malicioso en tu web. Una vez solucionado el problema, puedes solicitar desde aquí que Google vuelva a indexar tu web para quitar los posibles avisos.

WordPress es seguro, el usuario NO

Con esta frase me gustaría terminar, después de todo este tiempo te das cuenta que el culpable de que te hayan «hackeado» eres tu, por no haber hecho bien las cosas. Espero que os sirva de ayuda a modo de guía.

2 comentarios en “WordPress es seguro, el usuario NO

  1. ¿De verdad te ves con los conocimientos suficientes para decir que WordPress es seguro? Tú que te dedicas a la programación sabes (o deberías saberlo) que no lo es. Una vez una persona que si sabe (un experto en ciberseguridad) no «falsos gurus de esos» dijo que había que auditar cada plugin que se instala en un WordPress. Me da que no has hablado nada de eso. Un Saludo (El verdadero diario de un friki, lo demás simples copias)

    1. Por supuesto que me veo con los conocimientos suficientes para afirmar que WordPress es seguro, otra cuestión es el uso que hagas de el y de tu comprensión lectora ya que en ningún momento he hablado sobre la seguridad de los plugins. Una cosa es el core de WordPress y otra los temas y plugins que instalas (por si no te había quedado claro el título).

      Aunque viniendo de ti no me sorprende nada, si tan inseguro te parece WordPress por que tu maravilloso y «original» blog lo tienes hecho con ello. Que en 2005 ya había un blogspot con el nombre de diariodeunfriki y tu registraste el dominio en 2009. Todos somos muy listos.

      Por cierto, gracias por tu visita, me encanta que me lean 🙂

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Información sobre protección de datos

  • Responsable: Laura Díaz
  • Fin del tratamiento: Controlar el spam, gestión de comentarios
  • Legitimación: Tu consentimiento
  • Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  • Derechos: Acceso, rectificación, portabilidad, olvido.
  • Contacto: laura.bobysuh@gmail.com.
  • Información adicional: Más información en nuestra política de privacidad.