Al ser una plataforma popular y gratuita, WordPress nuncá será 100% seguro. Evita que hackeen tus sitios en WordPress, con este tutorial de seguridad. Ponte cómodo porque la lista es larga.
Empecemos por lo más vital
Antes que nada, considera las fallas frecuentes que presentan los plugins y minimiza el riesgo. Aquí, es donde las actualizaciones cumplen un papel primordial. Será de máxima importancia que cuentes con antivirus y que –por nada del mundo– uses contraseñas sencillas. Una buena contraseña debe contener más de 12 caracteres en mayúsculas, minúsculas, números y caracteres especiales. Si te resulta difícil crearlas o recordarlas, confía en Google para hacerlo.
1. Tu conexión a Internet
Lo más seguro es conectarte por Ethernet, pero si te conectas por wifi, asegúrate de tener seguridad WPA-2 y de cambiar la contraseña de acceso que viene por defecto en tu router.
Si utilizas WPS en tu conexión wifi, ¡desactívalo! De lo contrario, será facilísimo robar la contraseña de tu conexión. Dentro de lo posible, evita conectarte a tu sitio WordPress desde equipos ajenos poco fiables.
– ¿Wifi gratis? ¡Piénsalo dos veces!
Sabemos lo difícil que resulta resistirse a las conexiones gratuitas pero, no las uses para ingresar a tu sitio, ¡JAMÁS! Y si no tienes de otra, asegúrate de tener tu equipo protegido con antivirus y firewall actualizados, o conéctate a través de una VPN de confianza. Actualmente, la mayoría de los antivirus incluyen una VPN privada, aunque puedes contratar un servicio específico de VPN para encriptar tus conexiones. Esto es de mucha ayuda si tienes por costumbre conectarte a redes no seguras. Aunque, será mejor que utilices la red 3G de tu smartphone antes que una conexión WiFi gratuita.
– Di “No” al proxy.
Mucho menos si se trata de uno gratuito. Aunque en internet te aconsejan navegar en un proxy de forma anónima, ¡NO LO HAGAS! Anónimo no es lo mismo que seguro. Los proxys funcionan enviando el tráfico de tu contenido a través de servidores ajenos, muchos se anuncian como gratuitos para cobrarse con el robo de tus datos privados.
Si navegas a través de un proxy todo tu tráfico pasa por un servidor de alguien a quien no conoces. Muchos de esos proxy se anuncian precisamente para espiar el tráfico que pasa por ellos y poder robar datos privados.
2. ¿SSL para encriptar datos?
Te aconsejamos infinitamente asegurarte de que tengas activo el protocolo SSL y un certificado SSL activo en tu host para tener accesos encriptados a él por medio del “https”. Navegar con “https” permite a tus usuarios navegar de forma cifrada al servidor –por lo que– si alguien intenta robar tus credenciales de acceso, verá solamente caracteres sin sentido alguno. En hospedalia todos nuestros planes de Hosting incluyen un certificado SSL, por su puesto en nuestros planes WordPress Hosting.
– Google Authenticator
Utiliza un doble factor de autenticación siempre que puedas. Con Google te resultará muy fácil. Puedes usarlo con los gestores de contraseña y con tu correo electrónico. Tener tu email protegido es muy importante, ¡tienes muchas información ahí!
3. Tu equipo
Otro factor a considerar, es tener tu equipo libre de virus y hackeo. Ya que si introduces tus claves de acceso a un equipo con software malicioso, no habrá manera de evitar el robo de tu información.
– Sistema operativo y navegador actualizados
Mantén actualizado tu sistema operativo y tu navegador, elige el navegador que más te guste pero por favor asegúrate de utilizar la última versión y, por nada del mundo, uses Internet Explorer ya que es obsoleto (y no lo decimos nosotros, lo dice Microsoft).
Si actualizas las configuraciones automáticas, tanto en tu sistema operativo como en tu navegador, será muy fácil tenerlo resuelto.
Recuerda descargar siempre los programas que quieras utilizar desde la web de los desarrolladores. Evita, instalar programas procedentes de aplicaciones P2P o de páginas de descargas. Así como navegar por webs “sospechosas”, pues algunas instalan programas no deseados en tu equipo, o troyanos.
– Antivirus y firewall
Tu equipo debe contar con un buen antivirus y un firewall actualizados, ya que tenerlos con una base de datos antigua es como tener nada. Mantén activadas las opciones de firewall y análisis de seguridad por defecto del antivirus y ejecuta semanalmente una exploración completa de tu equipo.
Si el antivirus que estás utilizando no cuenta con firewall, agrégalo.
– Usuario invitado.
Si alguien más utiliza tu equipo, crea usuarios invitados con permiso restringido. Esto dificultará que instalen aplicaciones no deseadas en tu computadora.
– Control de accesos
Utiliza contraseñas seguras y distintas para cada uno de tus accesos: administración de WordPress, Webmail, FTP, así como al panel de control de tu hosting. Nuestra recomendación es que no utilices FTP, ya que con frecuencia, se infectan equipos para obtener datos guardados de acceso FTP para accesar al panel de control del hosting. Si no tienes otra opción, elige SFTP o FTPS de forma que tu tráfico cliente/servidor quede cifrado.
Antes de entrar en detalles, debes saber que nuestros planes de Hosting especializado en WordPress (WordPress Hosting) cubren más de 20 puntos de seguridad desde la instalación, en unos cuantos clicks.
¡Actualiza tu WordPress!
Las nuevas versiones de WordPress no solo sirven para arreglar errores o añadir nuevas funcionalidades, también corrigen problemas de seguridad que se van detectando. Al actualizarlo, evitas que los atacantes utilizan estos fallos de seguridad a su favor. Las actualizaciones son sencillas y rápidas.
En caso de no poder actualizar a la versión más nueva desde el administrador, puedes hacerlo de modo manual. Aquí, te explicamos cómo. No olvides realizar una copia de seguridad antes de actualizar.
En muchos casos los desarrolladores deciden no activar las actualizaciones automáticas debido a que al personalizar WordPress e instalar Plugins, se debe cuidar la compatibilidad, te recomendamos crear un control básico de actualizaciones, puede ser un sheet en Google o en un Excel.
1. Cuida tus plugins
En su mayoría, los ataques en WordPress se realizan a través de los plugins. Por esta misma razón, no es recomendable instalar plugins en grandes cantidades. Instala solo lo que vas a necesitar.
Al igual que con WordPress, las actualizaciones corrigen problemas de seguridad, por lo que debes mantener tus plugins actualizados. Puedes hacer actualizaciones desde la administración de WordPress de manera automática y, de igual manera, te recomendamos hacer una copia de seguridad antes de actualizar.
Recuerda, ¡jamás instales un plugin que hayas obtenido desde un torrent (red P2P), un gestor de descargas o una página sospechosa tipo “super-plugins-depago-gratis” ya que es muy posible que con el plugin venga un “regalo” en forma de código malicioso. Es imprescindible verificar el número de descargas del plugin (cuantas más mejor) así como la última fecha de actualización (si es de hace 2 años sospecha).
Lo mejor para probar un plugin, es hacer un clon de tu web y probarlo ahí, nunca en el sitio publicado. Existen herramientas que te informan del estado de tus plugins y demás anexos en tu web.
2. Cuida de tu tema (theme o templete)
Ya sea gratuito o de pago, asegúrate siempre de utilizar la última versión disponible de tu tema. Nuestra recomendación es que instales solo temas procedentes de wordpress.org o de la web de sus desarrolladores, ya que así, las actualizaciones se mostrarán de forma automática en la administración de WordPress. De nuevo, te recordamos no usar temas descargados desde gestores de descarga o páginas sospechosas pues pueden venir hackeados de serie.
3. Sin usuario admin, por favor
La primer opción de un hacker para entrar en la administración de tu web es el usuario “admin”.
Es mejor que te crees un nuevo usuario con privilegios de administrador (recuerda: una contraseña segura). Una vez creado, cierra tu sesión y vuelve a entrar con el nuevo usuario que creaste. Ahora, accede al gestor de usuarios, edita el usuario “admin” y cambia los privilegios de administrador por suscriptor o elimínalo por completo. Si optas por eliminarlo, asegúrate de reasignar las entradas y páginas que estaban asignadas al usuario “admin” a otro usuario existente.
Estos cambios se pueden hacer, también desde phpMyAdmin, para usuarios avanzados.
Con las herramientas incluidas en nuestros planes de WordPress hosting podrás hacer instalaciones WP en un Click y seleccionar tu nombre de usuario. Puedes usar algo como “Nombre_cargo_numero”
Si usas WordPress Hosting de Hospedalia, esta configuración se hace automáticamente desde la instalación, o desde el endurecedor de seguridad en unos clicks.
4. Backups periódicos y automatizados
Normalmente los proveedores de hosting (incluido Hospedalia.mx) realiza copias de seguridad automáticas pero, siempre es una buena idea que lo hagas tú de manera periódica, ya sea localmente, o bien una copia en el servidor, ojo, nunca dejes tus respaldos (archivos ni bases de datos) en la carpeta pública (httpdosc / public_htm), muévelos a una privada. La frecuencia será en función de la cantidad de información que vayas añadiendo; ya sea, actualización de plugins o WordPress, instalación de nuevos plugins, cambios en la base de datos, etc.
Puedes realizar copias de seguridad en almacenamientos externos (ya sea en servicios on line como Drive, o en discos duros externos en tu ambiente local), y para evitar problemas de espacio en tu cuenta de hosting si tienes respaldos ahí, elimina las copias de seguridad tras descargarlas.
En nuestro Panel de control especializado en WP podrás hacer respaldos en un par de clicks.
5. Intentos de acceso fallidos
La importancia de crear contraseñas complejas reside en evitar, también, los intentos de conexión. Es importante, de cualquier manera, limitar estos intentos, bloqueando las IP’s desde el panel de control. De este modo, reduces el riesgo de accesos ilícitos.
6. Captcha y doble autenticación
Las opciones de autenticación añaden una capa más de seguridad en tu WordPress. Primero, te recomendamos proteger el acceso a la administración de tu WordPress con un formulario de autenticación con Captcha o un doble factor de autenticación como por ejemplo Latch.
En segunda instancia, debes prevenir la utilización de formularios de la web para hacer SPAM usando bots, con un Captcha, Google tiene buenas opciones de última generación a modo de Plugin para WP.
7. Ocultar la versión de WordPress
Ya que, cada versión de WordPress viene con un serie de vulnerabilidades conocidas, ocultar la versión de WordPress que utilizas, dificulta identificarlas.
La encargada de mostrar la versión de tu WordPress en tu web es la función wp_head(), que incluye una llamada a la función wp_generator(). Para ocultar esa información, tienes que incluir la siguiente línea en el archivo functions.php de tu WordPress:
remove_action(‘wp_head’, ‘wp_generator’);
8. Audita tu WordPress
Puedes comprobar la salud de tu WordPress con Google Safe Browsing.
O,directamente en Google Console (antes Webmaster Tools)
Ahora que sabes los peligros que amenazan tu sitio y las medidas de seguridad para minimizar el riesgo, hablemos de hosting.
De poco sirve que ejecutes un plan de seguridad si tu alojamiento es débil a los ataques. Nuestro servicio de hosting, te proporciona seguridad a nivel de servidor; es tu primer barrera de defensa.
Usa un proveedor de hosting profesional, usa Hospedalia.
Sistema Operativo
Apostamos por Linux frente a Windows. Aunque ambas plataformas presentan problemas de seguridad, Linux lleva ventaja gracias a la comunidad de desarrolladores con la que cuenta.
Tenemos planes especializados en WordPress que proveen seguridad, velocidad, y un abanico de herramientas especializadas para agilizar la operación y mantenimiento de WordPress,, ahorrarás muchísimo tiempo y problemas.
¿Hosting al día en seguridad?
1.- Estas medidas debes valorar en un servicio de hosting compartido:
– Los permisos correctos de tu Hosting deben ser: 644 para archivos y 755 para carpetas.
Si no los tienes así, cambiate a Hospedalia, hosting profesional, seguro y con atención personalizada.
– Uso de un sistema de aislamiento por cuenta de alojamiento.
– Uso de aplicaciones de monitorización en tiempo real que analicen todos los ficheros que se leen o se graban en disco.
– Uso de sistemas para evitar Ataques de Denegación de Servicio (DDoS).
2.- Medidas preventivas para evitar ataques de fuerza bruta a WordPress:
– Uso de un WAF (Web Application Firewall). Pregunta por nuestro servicio de protección Web o consulta nuestro sitio AQUI
– Configuración a nivel de servidor que evite que se pueda hacer un listado de directorios (que un usuario pueda ver los archivos de una determinada carpeta de la web) o averiguar la versión de PHP que se está ejecutando.
– Protección de las bases de datos.
– Puerto MySQL cerrado: lo ideal es que el puerto de MySQL esté cerrado, y si necesitas acceder desde tu casa, que te habiliten el acceso solamente a tu IP.
– Software actualizado.
– Copias de seguridad automáticas de nuestros datos.
Con Hospedalia, tienes tu sitio bajo monitoreo las 24 horas de todos los días. Nuestro equipo técnico recibe alertas cuando se detectan actividades sospechosas para actuar de inmediato.
1. Activa la actualización automática en tu WordPress cuando se pueda
En la versión 3.7 de WordPress se hizo una gran mejora añadiendo la actualización automática de WordPress. Mantén esta opción activa, configurando las actualizaciones automáticas del núcleo de WordPress desde el fichero wp-config.php. Solo añade estas líneas para cada una de las configuraciones:
//Todas las actualizaciones del núcleo desactivadas
define( ‘WP_AUTO_UPDATE_CORE’, false );
//Todas las actualizaciones del núcleo activadas
define( ‘WP_AUTO_UPDATE_CORE’, true );
//Sólo actualizaciones menores del núcleo activadas
define( ‘WP_AUTO_UPDATE_CORE’, ‘minor’ );
En algunos proyectos esta opción no es viable, debido a las personalizaciones que hayas hecho en tu WP, por lo que podrás tomar medidas. Crea un flujo bien organizado para tus actualizaciones, controla tu versiones, y haz “Staging”. En nuestro panel podrás hacer staging en un click: Clona y Sincroniza archivos y/o BD en un click en un sud-bominio, ahorrarás mucho tiempo y facilitará tu trabajo por montones.
2. Modifica la url de login de tu WordPress
Modifica la url de acceso al BackEnd para evitar intentos de acceso por fuerza bruta
3. Protege los archivos que pueden comprometer la seguridad de tu web.
Hay algunos archivos que se añaden con la instalación de WordPress, que son meramente informativos, pero cuya información puede ser útil para los atacantes. Protégelos.
4. Protege tu base de datos cambiando el prefijo de las tablas por defecto
La base de datos es donde guardas toda la información de tu instalación de WordPress. Te recomendamos cambiar el prefijo wp_ que viene por defecto, para evitar que crackers y spammers intentan enviar códigos automatizados para acceder a tus datos.
Recuerda –antes de cualquier cambio– realiza una copia de seguridad.
En el instalador en un click que tenemos para WP podrás seleccionar fácilmente el prefijo para tus tablas.
5. Protege el archivo wp-login.php
Te recomendamos, proteger el acceso al wp-login.php o que permitas únicamente el acceso desde IPs autorizadas (si te conectas con IPs fijas).
Esto debes hacerlo si los visitantes de tu web no necesitan identificarse como usuario. Aquí podrás ver cómo.
6. Agrega una cabecera X-Content-Type
Con esta cabecera evitarás que haya usuarios que intenten suplantar archivos css o js por ejecutables.
7. Instala plugin de seguridad para WordPress
Existen multitud de opciones.
Recuerda antes de instalar algún plugin de este tipo, hacer una copia de seguridad. Lee en foros sobre los plugins, checa calificaciones, número de descargas y los comentarios de la comunidad para que siempre elijas plugins de buena calidad.
Recomendamos Wordfence, un plugin que en su versión gratuita ofrece muchos servicios de calidad, y un Newsletter completo donde puedes estar al día.
8. Agrega una cabecera X-Frame-Options
Añadiendo esta cabecera evitaremos que nuestra web cargue en un frame o iframe (marcos).
Con ello, evitaremos también ataques de tipo clickjacking, que suplanten tu web cargándola desde una ubicación externa. Esto, podría traerte problemas con Google si lo considera contenido duplicado.
9. Agrega una cabecera X-XSS-Protection
Añadiendo esta cabecera puedes aumentar la seguridad frente ataques de tipo XSS.
Recuerda hacer siempre una copia de seguridad de los archivos que vayas a editar.
10. Protección extra mediante el fichero .htaccess
Existen fórmulas con las que añadir protecciones extra mediante .htaccess
Impedir la ejecución de ficheros .php en el directorio uploads
El directorio /uploads, que normalmente sirve para almacenar imágenes o vídeos, puede ser explotado por usuarios maliciosos que suben código PHP infectado aprovechando los scripts para subir imágenes de WordPress.
La solución es añadir un fichero .htaccess en el directorio uploads impidiendo el acceso a ficheros php:
Deny from all
- También se puede limitar el acceso exclusivo a documentos de imagen en directorios como el uploads:
Order Allow,Deny
Deny from all
<FilesMatch “^[^.]+\.(?i:jpe?g|png|gif)$”>
Allow from all
- Para evitar que códigos maliciosos se escondan bajo nombres como xxxxxx.php.jpg, también se puede bloquear por estructura:
<FilesMatch “\.(php|php\.)(.+)(\w|\d)$”>
Order Allow,Deny
Deny from all
- Redirigir siempre los errores
Redirigir los errores te muestra información que pueda dar pistas a algún individuo malintencionado:
ErrorDocument 404 http://www.misitio.com
ErrorDocument 403 http://www.misitio.com
- Evitar ataques de inyección SQL
WordPress por defecto trata de evitar este tipo de ataques, pero ¿y si uno de tus plugins no?
Por si fuese el caso, puedes servirte del siguiente código para prevenir algunos ataques de inyección SQL.
RewriteCond %{QUERY_STRING} (;|<|>|’|”|\)|%0A|%0D|%22|%27|%3C|%3E|%00).*(/\*|union|select|insert|cast|set|declare|drop|update|md5|benchmark) [NC,OR]
RewriteCond %{QUERY_STRING} \.\./\.\. [OR]
RewriteCond %{QUERY_STRING} (localhost|loopback|127\.0\.0\.1) [NC,OR]
RewriteCond %{QUERY_STRING} \.[a-z0-9] [NC,OR]
RewriteCond %{QUERY_STRING} (<|>|’|%0A|%0D|%27|%3C|%3E|%00) [NC]
RewriteRule .* – [F]
11. Protección adicional mediante el wp-config.php
Si quieres evitar que desde la administración de WordPress se modifique el código de ficheros, puedes añadir la siguiente línea al fichero wp-config.php
define(‘DISALLOW_FILE_EDIT’, true);
Si la web ya está creada y no necesitas añadir nuevos plugins o plantillas, también puedes deshabilitar la instalación de temas y plantillas añadiendo:
define(‘DISALLOW_FILE_MODS’,true)
12. Deshabilitar XMLRPC para evitar ataques de DoS
Esta funcionalidad se utiliza bastante para realizar ataques de denegación de servicios. Desde una localización oculta se lanzan muchas solicitudes pingback forjadas a mano a muchos WordPress, diciendo que en tu web han hablado sobre ellos.
Estos WordPress irán a comprobar si realmente les has enlazado descargando tu página, y al recibir tantas peticiones de descarga juntas desde tantos sitios web, tu web quedará bloqueada.
Puedes evitarlo de dos modos:
- Cerrar por completo el comportamiento XMLRPC. El problema de deshabilitar XMLRPC es que pierdes alguna funcionalidades interesantes, como los pingback y los trackback.
- Disponer de un Firewall Web (WAF) que te proteja mediante reglas avanzadas que realizan recuento de todas peticiones XMLRPC que recibes y, en caso de que este número se dispare demasiado, bloquean todo ese tráfico.
- Si te decides a deshabilitar XMLRPC, puedes hacerlo manualmente o, con el plugin XMLRPC Disable.
Para hacerlo manualmente has de añadir esta línea en el fichero functions.php:
add_filter(‘xmlrpc_enabled’, ‘__return_false’);
13. Bloqueos por user-agent
En ocasiones puede ser necesario bloquear algunas aplicaciones, como por ejemplo a determinados robots, estableciendo bloqueos por user-agent en el fichero .htaccess.
De este modo evitarás el acceso de un user-agent determinado a tu web.
Algunos códigos de ejemplo para bloquear por user-agent pueden ser los siguientes:
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} ^.*(Baiduspider|HTTrack|Yandex).*$ [NC]
RewriteRule .* – [F,L]
SetEnvIfNoCase user-Agent ^Baiduspider [NC,OR]
SetEnvIfNoCase user-Agent ^Yandex [NC,OR]
SetEnvIfNoCase user-Agent ^[Ww]eb[Bb]andit [NC,OR]
SetEnvIfNoCase user-Agent ^HTTrack [NC]
Order Allow,Deny
Allow from all
Deny from env=bad_bot
14. Bloqueos por referer
También puedes ver necesario bloquear conexiones que vienen desde un determinado referer, para lo cual podrías utilizar cualquiera de los siguientes códigos:
RewriteEngine On
RewriteCond %{HTTP_REFERER} example\.com [NC,OR]
RewriteCond %{HTTP_REFERER} example\.net
RewriteRule .* – [F]
SetEnvIfNoCase Referer “example\.com” bad_referer
SetEnvIfNoCase Referer “example\.es” bad_referer
Order Allow,Deny
Allow from ALL
Deny from env=bad_referer
Con este bloqueo conseguirías bloquear el acceso a tu web desde un enlace ubicado en un dominio determinado.
15. Crypto.php
Esta es una de las vulnerabilidades más importantes y conocidas de WordPress.
Afecta directamente a las plantillas y plugins no autenticados por el repositorio oficial de wordpress.org y normalmente viene integrado en plantillas o plugins pirata.
El propósito del malware es añadir a tu web enlaces a otros sitios web que normalmente vinculan a sitios con fines maliciosos.
También puede ser utilizada con otros fines ya que esta infección puede comunicarse con servidores de control para realizar otras tareas (envío de SPAM, alojar otro tipo de contenido, realizar ataques a otras webs, etc.)
La infección normalmente está en una pequeña línea de código como la siguiente:
Como se puede ver, lo que hace es incluir un script llamando a un código que hay oculto en un fichero .png, que en teoría debería ser una simple imagen.
¿Y si tu sitio está infectado?
En el caso de que estés infectado, te recomendamos instalar el plugin de seguridad Wordfence que incluye una opción para analizar las imágenes como si de código php se tratara.
Desconfía si por ejemplo ves ficheros PHP en directorios donde solo debería haber imágenes, como el directorio /wp-content/uploads.
Esperamos haber contribuido a tus conocimientos sobre WordPress en cuanto a seguridad, conócenos y consigue un hosting profesional para tus sitios WP con nosotros, ¡mantén seguro tu WP con Hospedalia! Contamos con servicio de desinfección de Malware, contáctanos.
Seguridad Avanzada para tu sitio WordPress
¿Quieres ahorrarte mucho de esto? Activa nuestro plan avanzado de seguridad Website Protect, solo disponible para sitios alojados en Hospedalia.
Ven, cámbiate con nosotros y ¡enfócate en tu negocio!
Defiende tu sitio web contra hacks y ataques. Protegemos tu sitio de malware y parchamos virtualmente los problemas de seguridad antes que el sitio sea entregado al usuario.
Website Protect es un sistema inteligente de protección en la nube que monitorea, filtra y repele automáticamente todos los ataques dirigidos a tu sitio Web.
Directamente desde DNS.
- Actualizaciones virtuales de seguridad
- Sistema de detección y bloqueo de intrusos
- Filtrado de URL
- Prevención de ataques
- Compatible con cualquier plataforma: WordPress, Joomla, vBulletin, Magento y hasta diseños personalizados
