Hace unos días, la popular agencia de posicionamiento SEO, autora del famoso plugin YOAST, publicó un mini guía con consejos para mejorar la seguridad en WordPress. El famoso complemento de optimización SEO tiene más de 5 millones de descargas tan solo en WordPress. Debido a su experiencia con WordPress, Yoast dedica una publicación con unos sencillos consejos de seguridad para aquellas personas menos experimentadas en la tecnología de sus páginas Web.
Vamos a dar un repaso a algunos de estos consejos en la siguiente lista:
1. No usar «admin» como nombre de usuario
Una gran mayoría de hackeos a páginas Web se basan en simples ataques por fuerza bruta, que intentan averiguar el acceso al área de administración de WordPress. Si de salida ya no tienen que averiguar el nombre de usuario administrador, los ataques por fuerza bruta pierden toda su efectividad. Es importante no utilizar nombres comunes como «admin», «administrator», «demo», «user1», «administrador», etc. como nombre de usuario y cambiarlo por otro si es el nombre de usuario actual.
2. Utilizar una contraseña compleja
Disponer de una contraseña más compleja hace que un ataque por fuerza bruta sea mucho menos efectiva. Es importante crear una contraseña compleja, larga y única.
En la actualidad son muchas contraseñas las que hay que memorizar de las diferentes plataformas en las que estamos dados de alta como bancos, tiendas online, compañía de la luz, etc. Es por ello que existen herramientas que pueden hacernos la vida más fácil. Podemos utilizar herramientas para almacenar nuestras contraseñas como KeePass Password Safe.
3. Utilizar autenticación en 2 pasos
Incluso sin utilizar el nombre de usuario «admin» y con una contraseña compleja y única, los ataques por fuerza bruta pueden seguir siendo un problema. Para llevar la seguridad al nivel máximo es posible utilizar la autenticación en 2 pasos para obligar a confirmar el login introduciendo un código recibido en un dispositivo móvil que posees.
Si eres un Webmaster que gestiona la Web a diario, creemos que la verificación en 2 pasos no es necesaria si dispones de una instancia WordPress con un único usuario administrador sin usuarios adicionales. Pero en caso de disponer de varios usuarios y posibles suscriptores, esta opción es más que recomendable. Existen plugins como Google Authenticator para implementar esta función en WordPress.
4. Gestionar los privilegios con prudencia y de manera austera
Cuando gestionamos permisos de administrador para otros usuarios, es conveniente entregar solo los permisos necesarios y durante el tiempo necesario para las tareas necesarias:
- Solo a aquellos usuarios que lo necesitan.
- Únicamente cuando lo necesitan.
- Solamente durante el tiempo que lo necesitan.
Así por ejemplo, si alguien solicita acceso de tipo administrador para un cambio de configuración, se lo podemos dar, retirando el permiso de administrador una vez haya terminado la tarea.
5. Esconder el fichero wp-config.php y .htaccess
Los ficheros wp-config.php y .htaccess son críticos para la seguridad de WordPress. Suelen contener información crucial acerca de las credenciales de acceso al sistema y exponen información sobre la estructura y configuración de una página Web. Asegurar que los usuarios no pueden acceder a estos ficheros es muy importante.
Podemos utilizar el siguiente código para no permitir cualquier intento de acceso no autorizado a los ficheros escribiendo las siguientes líneas en el fichero .htaccess. Debemos hacer una copia de seguridad de los ficheros antes de realizar los cambios:
Para impedir el acceso al fichero wp-config.php: <Files wp-config.php>
Para impedir el acceso al fichero .htaccess:
order allow,deny
deny from all
</Files>
<Files .htaccess>
order allow,deny
deny from all
</Files>
6. Utilizar claves de seguridad y salts para la autenticación
Las salts de WordPress, junto con las claves de seguridad, consisten en una herramienta criptográfica para proteger la información de las cookies que WordPress utiliza para iniciar sesión.
El fichero wp-config.php tiene un área dedicada donde puedes facilitar variables propias. Podemos obtener una serie de claves nuevas desde el siguiente enlace.
7. Deshabilitar la edición de ficheros
Si un hacker consigue obtener acceso a un sitio Web WordPress, la forma más fácil que tiene para editar los ficheros de la instancia Web es desde «Apareciencia -> Editor». Para mejorar la seguridad de WordPress, podemos deshabilitar la edición de esos ficheros mediante el propio editor de WordPress.
Podemos conseguirlo añadiendo la siguiente línea en el fichero wp-config.php:
define('DISALLOW_FILE_EDIT', true);
Podremos seguir editando el fichero si accedemos mediante un cliente ftp pero no podremos editar los ficheros desde dentro del propio backoffice de WordPress.
8. Esconder la url al administrador de WordPress y limitar los intentos de login
Los ataques por fuerza bruta suelen apuntar a la pantalla de login. Cambiar la dirección url de la pantalla de login hará mucho más complicado que los atacantes puedan marcar la Web como objetivo. Existen plugins como All In One WP Security & Firewall que le permitirán cambiar la url por defecto de la pantalla de login «wp-admin» a otra distinta.
También es conveniente limitar el número de intentos de hacer login desde una misma dirección IP a la Web. Existen varios plugins para esta tarea aunque es conveniente que la empresa de hosting de su Web ya tenga políticas activas de seguridad en este sentido que estén controlando los accesos.
9. Ser selectivo con el protocolo XML-RPC
XML-RPC es un una API para aplicaciones externas. Permite interactuar con una instalación de WordPress utilizando aplicaciones o servicios externos. Por ejemplo, el famoso plugin Jetpack consiste en un mega-plugin que incluye otros plugins normalmente separados en un solo pack. Jetpack utiliza el protocolo xmlrpc para funcionar.
A no ser que estemos totalmente seguros de lo que hacemos, no recomendamos desactivar XML-RPC dado que podrían dejar de funcionar algunos de nuestros plugins o alguna característica concreta de nuestra Web. Sin embargo, existen plugins para configurar los niveles de acceso XML-RPC para ser más selectivos.
10. Elegir la compañía de Hosting adecuada
Elegir un servicio de hosting adecuado es un factor fundamental para la seguridad de una página Web. Un servicio de hosting barato no suele incluir las medidas de seguridad adecuadas o características como copias de seguridad automáticas. Si un atacante obtiene acceso al hosting de la página Web, tendrá el control completo de todo. En este artículo damos algunos consejos para saber elegir el Hosting adecuado para una página Web.
11. Mantener actualizada la página Web
Mantener actualizada la plataforma Web es uno de los aspectos críticos de su seguridad e integridad. No siempre es posible si no tenemos los conocimientos necesarios o un desarrollador Web que se encargue de hacerlo.
Es muy importante mantener actualizado el núcleo de WordPress, el tema/plantilla que esté instalado y los plugins que estén instalados.
Cuando no se cuenta con una empresa de desarrollo o Webmaster existen alternativas como contratar un servicio de firewall WAF (cortafuegos WAF). Este servicio puede mantener una Web protegida aunque no esté actualizada. Existen suscripciones a este tipo de servicio de fácil instalación como el de SUCURI o LIMPIAWEB de novored.
12. Añadir capas de seguridad adicionales
Las mejores soluciones de seguridad impiden que los atacantes puedan resultar una amenaza de cualquier tipo para una Web. Por eso se suele recomendar la utilización de un plugin cortafuegos. Estos plugins suelen buscar patrones de ataque comunes y atacantes conocidos. Otra opción, es la de poner la Web detrás de una red de distribución de contenido o CDN que suele incorporar un firewall WAF. Algunos ejemplos son SUCURI o Cloudfare.
13. Ser selectivo con los plugins y temas
Existen muchos temas gratuitos de baja calidad, otros que no son actualizados por parte del desarrollador o que directamente han sido abandonados. Recomendamos comprobar los plugins que tenemos instalados en el sitio Web y tenerlos bien identificados, descartando o señalando aquellos que puedan representar una amenaza por no haberse actualizado en mucho tiempo. En este artículo damos unos consejos para saber elegir los mejores plugins para WordPress.
Pueden interesarte los siguientes artículos:
¡Alerta! ¿Realmente Posees tu Dominio .es?
Descubre por qué la titularidad de tu dominio .es es crucial y cómo actualizarla para evitar problemas legales y administrativos.
5 Formas de Crearte tu Propia Web
Descubre cómo crear fácilmente tu propia página web con estas 5 opciones accesibles, perfectas para principiantes, nivel intermedio y expertos.
Reiniciar tu Ordenador: Mito o Solución Milagrosa al 90% de Problemas Informáticos
Reiniciar tu ordenador: ¿solución milagrosa o mero mito tecnológico de la cultura pop? Descubre la historia detrás de esta práctica común.
¿Es mejor usar un dominio .com o .es para mi Web?
Examinamos los pros y los contras de los dominios .com y .es para ayudarte a elegir el dominio adecuado para tu sitio web, basándonos en factores como la ubicación de tu audiencia, la relevancia geográfica, la disponibilidad y el alcance internacional.
¿Puede una empresa vender como antes sin redes sociales?
Las RRSS se han convertido en canales de comunicación y venta para las empresas de todos los tamaños. Comentamos qué importancia tienen en las pymes.
Tips desarrollo web: el Top 5 de los plugins de wordpress
Conoce al detalle los cinco plugins más interesantes y populares que se encuentran para el desarrollo web y para un sitio creado con Wordpress.