Asegurando correctamente WordPress

El popular sistema de gestión de contenidos WordPress está ahora muy extendido. En este artículo nos gustaría darte algunos consejos para asegurar tu instalación de WordPress.

Debido a la alta distribución de WordPress es, lamentablemente, también un objetivo popular para los hackers y, por desgracia, también hay ataques automatizados a las instalaciones de WordPress donde se comprueba si contienen agujeros de seguridad conocidos.

Por lo tanto, es muy importante que siempre mantengas tu WordPress actualizado. Para el uso profesional también es razonable contratar a una agencia para mantener el WordPress actualizado y elegir un webhoster que también utilice un firewall para proteger el sistema contra ataques conocidos.

Hemos enumerado los puntos más importantes de cómo proteger su instalación de WordPress.

[tie_list type="checklist"]
  • Mantén WordPress siempre actualizado
[/tie_list]

WordPress no es sólo un software para blogs, sino que también puede ser equipado con varias funciones a través de los llamados plug-ins, es decir, extensiones. Muchos usuarios utilizan plugins y diseños (temas) especiales para sitios web individuales. El principal problema de los ataques es la falta de actualización de las instalaciones.

Sugerencia: Para la instalación de WordPress elija un anfitrión web con una interfaz de administración que le ayude a actualizar WordPress y los plugins. Nuestra recomendación es el uso de Plesk como software de gestión.

Activar la actualización automática de WordPress.

El software se mantiene siempre actualizado. Esto también es posible para muchos Plusins.

Es aconsejable entrar en la interfaz de administración de wordpress regularmente y comprobar el estado actual del software. WordPress muestra directamente si hay actualizaciones disponibles.

Más problemáticos son los temas, es decir, los diseños acabados que suelen contener plusvalías pagadas. Estos temas no suelen instalarse automáticamente, sino que deben actualizarse manualmente. Para ello, tienes que descargar la versión actual del tema del fabricante y copiarla en el directorio de temas. Después de la actualización, por lo general sólo es necesario hacer unos pocos ajustes en las Administraciones Temáticas.

[tie_list type="checklist"]
  • Usar conexiones encriptadas.
[/tie_list]

Los datos de acceso de WordPress son muy solicitados y pueden ser fácilmente espiados en una red insegura, por ejemplo, si te conectas a un WLan abierto en un restaurante o un hotel.

Por lo tanto, siempre se debe utilizar un certificado para una página de inicio. Lo mejor es elegir un anfitrión web que pueda configurar un certificado para usted. Esto sólo cuesta unos pocos euros al año para una protección profesional de su instalación.

Por favor, asegúrese siempre de tener acceso encriptado a su instalación de WordPress a través de https://, así como una recuperación segura de correo electrónico y, si es necesario, un inicio de sesión FTP seguro. Una vez que haya usado una conexión no encriptada, recomendamos cambiar todas las contraseñas inmediatamente.

[tie_list type="checklist"]
  • Guarda el archivo wp-login.php
[/tie_list]

También existe la posibilidad de renombrar el directorio wp-admin, pero esto puede llevar a problemas con la funcionalidad de WordPress. La forma más fácil de protegerse contra la mayoría de los ataques de fuerza bruta donde las contraseñas son simplemente adivinadas es incluir un código en el archivo .htaccess. Esto puede combinarse bien con la protección de la contraseña.

[tie_list type="checklist"]
  • Asegure su directorio de administración con una contraseña.
[/tie_list]

Además, debería proteger este directorio con una contraseña. Su proveedor ofrece la opción de configurar la protección de directorios para ciertos directorios. Proteja su directorio de administración con un complicado nombre de usuario y contraseña de al menos 12 caracteres de longitud y que contenga caracteres especiales. Nunca escojas contraseñas que sólo tengan 8 caracteres de largo. En la actualidad se consideran generalmente inseguras y pueden ser descifradas rápidamente, ya que han sido precalculadas en función del tipo de cifrado.

Después de la protección con contraseña, abra el archivo .htaccess e inserte el siguiente código de arriba

ErrorDocumento 401 "Bloqueado
ErrorDocumento 403 "Bloqueado

# Permite el acceso de los plugins a admin-ajax.php a pesar de la protección con contraseña


Orden permitir, negar
Permitir que todos
Satisfacer cualquier

Esto asegura que los plugins de WordPress puedan seguir llamando a los archivos.

[tie_list type="checklist"]
  • Usar plugins y temas que se utilicen lo más ampliamente posible
[/tie_list]

Los plugins suelen ser los responsables de los agujeros de seguridad en tu WordPress. Los plugins y temas son pequeños paquetes de software que son proporcionados por terceros proveedores. En principio la idea es buena, pero ahora hay muchos proveedores dudosos y también proveedores que simplemente no tienen conocimiento y por lo tanto crean software que contiene agujeros de seguridad. Prácticamente no hay protección contra esto para el lego. Por lo tanto, recomendamos utilizar sólo los plugins que se han instalado muy a menudo y que tienen una buena calificación.

No utilice temas gratuitos que pueda descargar de cualquier sitio web. Comprar un tema, por ejemplo en Themeforest o Templatemonster, a un proveedor llamado de élite, es decir, a equipos de programación profesionales que han generado una gran rotación.

También preste atención a la fecha de la última instalación. No se recomiendan los proveedores que no actualizan sus plugins y temas o que ya han detenido el desarrollo.

[tie_list type="checklist"]
  • Eliminar temas y plugins no utilizados
[/tie_list]

Si tu sitio web está listo y quieres empezar, siempre recomendamos eliminar todos los plugins y temas no utilizados. Esto también se aplica a los temas propios de WordPress que no se pueden eliminar fácilmente. A los posibles atacantes les gusta esconder sus archivos en estos directorios estándar, por lo que es aconsejable eliminar completamente los archivos no utilizados. Puede hacerlo a través de la interfaz de administración y, si es necesario, también a través de FTP. Simplemente borra los directorios del directorio de temas que no uses.

[tie_list type="checklist"]

Usar un cortafuegos de aplicación

[/tie_list]

Si es posible, deberías usar un firewall de aplicación. Este es un software que comprueba cada conexión y ofrece muchas posibilidades para prevenir posibles ataques.

Con muchos proveedores hay opciones gratuitas como fail2ban (recomendado), mod_security WAF para bloquear ataques conocidos o direcciones IP dudosas conocidas. En los entornos de alojamiento compartido, es decir, en las cuentas de alojamiento pequeñas, esto no suele ser posible porque hay demasiadas características especiales que no pueden configurarse globalmente. Para un uso profesional, recomendamos en cualquier caso utilizar un servidor V gestionado, es decir, un entorno separado sólo para su sitio web.

Con algunos proveedores de primera calidad también puedes usar una solución de firewall externo para tu sitio web. En este caso los sistemas de por ejemplo Barracuda, Sonicwall o Imperva son adecuados. Estos sistemas filtran el tráfico antes de que llegue al servidor web y así bloquean la mayoría de los ataques. Esta solución es relativamente cara, con 50-250 euros al mes, y sólo es adecuada para uso profesional.

Conclusión: crear un sitio web uno mismo es muy fácil con WordPress. También la actualización automática que ofrecen muchos alojamientos web es útil en comparación con otros sistemas de gestión de contenidos. Si siempre te aseguras de que las extensiones están al día (al menos una vez a la semana), entonces no te puede pasar mucho.

Lo que no cuesta nada tampoco sirve. Desgraciadamente, esto es cierto para muchos plugins y temas. Tenga en cuenta que muchos estafadores infectan los temas con código malicioso y luego los distribuyen como su propio tema de forma gratuita. En cuanto haya instalado algo así, su sitio web servirá en poco tiempo para enviar Spam o abusa de los ataques a otros.

 

Artículos de actualidad