Medida de seguridad de tu WordPress

proteccion de wordpress

WordPress es el sistema de gestión de contenido (CMS) más popular y utilizado del planeta.
No sólo es el favorito para los usuarios, si no es el objetivo principal para los Hackers o piratas informáticos.

Al ser una comunidad tan grande y amplia, hace que sea muy goloso para estos Hackers, y por eso tienen a su ejercito de robots rastreando vulnerabilidades en instalaciones de WordPress de toda la red.

¿Aún tienes dudas sobre la importancia de hablar sobre la seguridad para WordPress?

25% Web activas a nivel mundial están desarrolladas con WordPress.

10.000 Son los sitios que Google advierte de que son infectados por Malwares cada día.

90% Sitios hackeados estaban creados en WordPress y solo el 36% utilizaban un CMS actualizado.

Entonces… ¿Wordpress es seguro?

Mi respuesta es . Esto es como quién pregunta si conducir un coche de gran potencia es seguro.

A pesar de la mala reputación respecto a las vulnerabilidades de seguridad que está sufriendo, es mayormente debido a las prácticas erróneas de los usuarios.

Estas prácticas son de las que vamos a hablar hoy para tratar a fondo la seguridad para WordPress que necesitas conocer.

¿Por qué debemos proteger nuestro sitio contra hackers?

Seguramente habrás navegado por alguna web y te habrá aparecido un mensaje de alerta muy llamativo de Google informando de “Este sitio que vas a acceder contiene software malicioso” o “El sitio web que vas a acceder es engañoso”.

Para Google la navegación segura para el usuario es primordial. Por eso en 2007 lanzó el servicio de diagnóstico “Safe Browsing” para mejorar la protección de los usuarios ante códigos maliciosos o distintas amenazas.

Safe Browsing

Es un servicio de diagnóstico con una base de datos de sitios peligrosos, orientado proteger al usuario final de amenazas como malware, mediante notificaciones llamativas al acceder al sitio.

¿Cómo puede afectar que mi sitio haya sido hackeado?

Si Google detecta de que nuestro sitio ha sido afectada la seguridad de nuestro WordPress nos informará, mediante notificaciones vía email o en el Google Search Console, de que nuestro sitio contiene software malicioso.

¿Qué tipo de ataques existen?

Existe gran cantidad de tipos de ataques, pero vamos a nombrar los casos más conocidos.

Backdoors o Puerta trasera:

Proporciona a los hackers una puerta trasera oculta para acceder al sitio e infectar los archivos de la instalación, Plugins o el Theme. Puedes ser causado por instalación de plugins o temas de sitios no seguros o de no confianza.
Ejemplo: La famosa vulnerabilidad de TimThumbScrip para redimensionar imágenes.

Ataques por fuerza bruta:

Son los ataques que consiste en acceder masivamente al formulario de acceso del sitio probando entre varias combinaciones.

Denegación de Servicio(Dos)

Ataques continuos a vulnerabilidades en el sistema provocando la sobrecarga de recursos y pérdida de conectividad del servicio.

Mi sitio ha sido hackeado, ¿y ahora qué?

Lo primero que vamos a hacer es no intentar perder la calma. El estrés y las prisas no son buen acompañantes en estos momentos.

Estos son los pasos para corregir el peor de los resultados cuando la seguridad de tu WordPress ha fallado:

  1. Identifica el problema consultando en la herramienta de Google de diagnóstico, para verificar si tu sitio ha sido infectado.
  2. Cambia todas las contraseñas de acceso al panel de WordPress, FTP y Bases de datos. Comprueba de que no hayan añadido usuarios nuevos.
  3. Descarga en tu equipo  una copia de seguridad anterior al ataque e identifica que archivos han sido modificados recientemente.
  4. Te recomendamos la instalación del plugin Anti-Malware Security and Brute-Force Firewall. Este plugin realiza una revisión completa de tu sitio identificando archivos infectados. Normalmente los archivos modificados contienen funciones como base64preg_replace o move_upload_file dejando “Backdoors” o puertas traseras para futuros ataques. Que no se te olvide revisar que no hayan sido modificado los archivos wp-config.php, .htaccess o robots.txt, ya que pueden afectar al correcto funcionamiento de tu WordPress.
  5. Restaura todas las carpetas de los Plugins y los actualizas a la última versión.
  6. Haz una copia de seguridad completa(Ficheros y Base de datos) del sitio.
  7.  Elimina advertencias de Google notificando que tu sitio está limpio y no contiene código malicioso. Puedes solicitar una revisión desde el Search console Problemas de seguridad.

Cómo podemos incrementar la seguridad de nuestro WordPress ante ataques Hackers

Contrata un servicio Hosting de calidad:

Mantén actualizado SIEMPRE la versión de WORDPRESS.

Cada cierto tiempo aparece una nueva actualización solucionando problemas de seguridad y bugs.

Cada vez que se detecta alguna vulnerabilidad del núcleo, en seguida sacan una versión nueva solucionando estos errores.

Igual que el núcleo, mantén actualizado siempre los Plugins y el tema. Esto ayuda a solucionar vulnerabilidades o agujeros de seguridad instalados en los Plugins. Ejemplos de Plugins afectados Revolution Slider o Ninja Forms.

Instala Plugins de confianza y que tengan un mantenimiento continuo mediante actualizaciones periódicas.

Borra los temas y plugins que no utilices.

Cambia el prefijo de las tablas de las Base de datos. El plugin Change Table Prefixe permite modificar los prefijos después de haber realizado la instalación. En las instalaciones de Worpdress nos viene por defecto el prefijo de las tablas de las bases de datos “wp_”. Utilizando estos prefijos les estamos dando facilidades a los hackers.

Elimina el usuario Admin. Es el primer objetivo de los piratas informáticos.

Utiliza contraseñas complejas. De nada nos sirve tener nuestra página blindada en seguridad si las contraseñas no cumplen un mínimo de seguridad. Recomendamos utilizar más de 8 caracteres y que contengan números y símbolos, ya que de lo contrario mediante sistemas de fuerza bruta, es muy fácil acceder.

Cambia la url de la página de login (wp-admin)

Utiliza un CDN (Red de distribución de contenidos). Mejorará el tiempo de carga y añade seguridad extra a tu sitio. Puedes encontrar más información en el POST que publicamos de WPO.

Actualiza tu servidor a la última versión de php.

Utiliza https para conexiones cifradas.

Protege tu sitio con un plugin de seguridad para WordPress como All In one WP Security, iThemes Security, Sucuri Security o Jetpack. La mayoría de estos plugins de seguridad vienen con las funcionalidades de escáner de malware, firewall o bloqueo de fuerza bruta.

Proteger de forma segura el archivo wp-config.php es otra forma de reforzar la seguridad de WordPress. Dicho archivo contiene información confidencial muy valiosa, que estando al alcance de las manos equivocadas, pueden destrozar tu sitio.  Puedes proteger el archivo añadiendo el siguiente código en el .htaccess.

Otra opción, es mover el archivo wp-config.php fuera de la carpeta principal.
Por lo general, en las instalaciones de WordPress, dicho archivo se coloca en la carpeta del núcleo, junto a otros archivos como ‘wp-settings.php’ o ‘wp-login.php’. WordPress también nos permite una opción más segura que es colocar el archivo fuera de su carpeta original.
En la siguiente imagen podemos ver los daños sufridos por el ataque de dicho archivo.

En definitiva ¿Estamos seguros 100% ante los Hackers?

Si nos descargamos la última versión actualizada de WordPress, tenemos una mínima posibilidad de 0,00001% de que haya un pequeño problema no corregido de seguridad, y sea vulnerable en millones WordPress de todo el mundo.

Es imposible 100% mantener nuestro sitio libre de hackers. Lo que sí podemos es ponérselo más complicado ante las vulnerabilidades con un mantenimiento correcto.

Si quieres ver mas artículos relacionados con wordpress accede a nuestra pagina de inicio.

Hasta la próxima!

Quiero ver…

Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages

De interés