Cómo mejorar la seguridad de tu Blog o página web en WordPress

mejorar seguridad wordpress

WordPress es un CMS tan extendido que eso ha hecho que se vuelva el objetivo de muchos hackers y atacantes, es decir, la cuota de mercado de WordPress es tan alta que ahora mismo hay muchos atacantes buscando vulnerabilidades y fallos de seguridad, esto hace que en WordPress los problemas de seguridad aparezcan muchísimo más rápido que en otras plataformas y CMS, pero también hace que tengamos que ser muy estrictos con la seguridad, ya que el mínimo error o descuido puede provocar un agujero de seguridad por el que pueden atacarnos.

seguridad wordpress

Proteger WordPress de atacantes y malware no resulta complicado, simplemente debemos tener en cuenta una serie de cosas: precauciones varias, actualizaciones constantes y varias protecciones.
Normalmente cuanto más popular es una web más ataques recibe de todo tipo, por eso debemos estar preparados para no tener problemas en estos casos.

En este artículo vamos a hablar de una serie de puntos básicos para mejorar la seguridad de WordPress y no tener problemas relacionados con malware o inyecciones de código, además, también podremos ver como bloquear ciertos tipos de ataques comunes.
Si sigues más o menos al pie de la letra todo lo que hablamos en este artículo, tu WordPress será seguro, aunque como se suele decir, “la seguridad total no existe”.

 

Haz click para twittear

Actualizaciones del núcleo de WordPress, Plugins y Themes

Es muy importante mantener el núcleo de WordPress siempre actualizado, esto no quiere decir que tengamos que actualizar corriendo y deprisa horas después de existir una actualización (salvo vulnerabilidad zeroday), pero sí que es importante mantener siempre el núcleo del CMS actualizado ya que mejoraremos la seguridad.

Como hemos dicho anteriormente, WordPress es un CMS muy “infectable” ya que hay muchos atacantes buscándole las “cosquillas”, por eso el núcleo debe estar siempre protegido.

seguridad blog wordpress

Normalmente Automattic (desarrolladores de WordPress) suelen actuar rápido cuando aparece un fallo de seguridad importante en WordPress.

Por otro lado, también es muy importante actualizar los plugins y los themes, ya que estos dos componentes de personalización y mejora suelen ser el principal problema de seguridad en WordPress, ya que cuando aparece un fallo de seguridad en un plugin o en un theme, el desarrollador puede no actuar o directamente hacerlo con lentitud, provocando que cientos de miles de instalaciones de WordPress sean infectadas en cuestión de horas.

Si un plugin o un theme lleva demasiado tiempo sin actualizarse, debemos buscar una alternativa, más o menos en condiciones normales, a partir del primer año podría considerarse que el desarrollador ha abandonado el proyecto y el plugin deja de tener soporte.

mejorar seguridad en wordpress

Normalmente la mayoría de los administradores de sitios web WordPress confunden el concepto de actualizaciones, un plugin o theme actualizado NO es aquel que esta actualizado a la última versión disponible, sino que es el que esta actualizado a la última versión disponible, y esta última versión disponible es reciente.

Desde hace unas cuantas versiones, WordPress incluye actualizaciones automáticas para versiones menores de themes, plugins y del núcleo de WordPress, por otro lado los autoinstaladores como Installatron también permiten gestionar automáticamente las actualizaciones.

 

Análisis de Malware y Virus

El concepto de “antivirus” para WordPress también existe, aunque realmente se trata de plugins antimalware que nos permiten realizar análisis de malware y backdoors en los archivos del sitio web y en la base de datos.

Lo que debemos tener en cuenta, es que estos plugins que funcionan como anti-malware o antivirus, no hacen milagros, es decir, si una instalación de WordPress está infectada, debemos desinfectarla realizando un proceso completo de desinfección, no basta con pasarle un antivirus y borrar el malware, ya que la web volverá a estar infectada en relativamente poco tiempo.

proteger tu blog en wordpress

Yo normalmente confió en estos plugins para realizar análisis, aunque existen otros que pueden realizar los análisis más o menos igual:

  • Anti-malware Security and Brute-Force Firewall: Es uno de los plugins de análisis de malware en WordPress más potentes que he conocido, también es el que más recursos consume de todos los que he visto.
    La principal ventaja de Anti-malware Security and Brute-Force Firewall es que analiza todos los archivos y carpetas partiendo de la raíz de la web, además tiene una buena base de datos de detección, pero el problema es que no analiza la base de datos ni el contenido.
    Puedes encontrar más información sobre el aquí: https://es.wordpress.org/plugins/gotmls/

 

  • Wordfence Security: Es un plugin que normalmente recomiendo para varias cosas, pero en este caso, tengo que decir que su motor de análisis es simplemente brutal, analiza archivos y revisa el contenido en busca de enlaces a sitios infectados.
    Wordfence Security también tiene una buena base de datos de detección, pero quizás no es tan potente al analizar archivos como lo es Anti-malware Security and Brute-Force Firewall.
    Puedes encontrar más información sobre el plugin aquí: https://es.wordpress.org/plugins/wordfence/

 

  • AntiVirus: Es un plugin mucho más simple que los nombrados anteriormente, se trata de un plugin que analiza solo los archivos del theme activo y la base de datos en busca de algún tipo de código malicioso o inyección.
    Aunque es muy simple, mi experiencia con él es buena, y en alguna ocasión me ha detectado malware que otros plugins no me ha detectado.
    Puedes encontrar más información sobre el plugin aquí: https://es.wordpress.org/plugins/antivirus/

Todos los anteriormente nombrados son plugins para WordPress, pero si estas alojado en un servidor VPS o un servidor dedicado (en resumen, en algún servidor al que tengas acceso por consola) también puedes usar un antivirus / antimalware a nivel servidor, como por ejemplo Maldet.
En Maldet no voy a profundizar, pero si necesitas más información acerca de este antimalware, puedes encontrarla aquí: https://raiolanetworks.es/blog/desinfectar-virus-de-servidor-linux-con-maldet-y-clamav/

 

Cambio de la Url de Login

De forma predeterminada WordPress trae las URLs /wp-admin y /wp-login.php para que los usuarios y administradores puedan acceder al back-end del sitio web, evidentemente esto lo saben los atacantes, por eso es muy fácil para ellos crear bots que prueba contraseñas por fuerza bruta en estas URL hasta conseguir entrar.

¿Y qué ocurre si cambiamos estas URL por unas nuevas que no conozcan los hackers? Pues simple, si cambiamos las URL de autentificación, bloquearemos el 99% de los ataques por fuerza brutal contra las pantallas de login.

aumentar seguridad wordpress

Para esta tarea, normalmente uso el plugin Lockdown WP Admin, un plugin muy simple para WordPress que también nos permite implementar contraseña mediante .htaccess en servidores web Apache.

Aunque en el momento de escribir esto el plugin Lockdown WP Admin lleva más de un año sin actualizaciones, es un plugin tan simple que no es peligroso, salvo que aparezca una vulnerabilidad importante que le afecte.

 

Cómo protegerse de ataques de fuerza bruta

Los ataques por fuerza bruta en WordPress pueden ser bloqueados de varias maneras, tanto desde el punto de vista del servidor como de WordPress.
Evidentemente, siempre es mejor bloquearlos en el servidor o desde la red, aunque en algunos casos por diversas circunstancias debemos bloquearlos desde WordPress.

Si con cambiar la URL de login aún persisten los problemas de ataques a la parte de autentificación, también existen plugins específicos para bloquear ataques de fuerza brutal en el login, como por ejemplo LimitLoginAttemps.
Pero en este caso yo siempre suelo recomendar la funcionalidad de bloqueo de fuerza bruta de WordFence Security.

blog wordpress

La configuración que puedes ver en la imagen anterior es de WordFence Security, personalmente, es la configuración que suelo poner en la mayoría de los sitios WordPress que administro.

Si algún atacante o usuario “perdido” intenta acceder más de 3 veces con datos incorrectos o intenta recuperar la contraseña más de 3 veces, WordFence Security bloqueara su dirección IP y le impedirá seguir probando contraseñas.

 

Waf (Web Application Firewall)

Un WAF o Web Application Firewall es un sistema que permite proteger aplicaciones web de distintos tipos de ataques o inyecciones que pueden causar bastantes daños.

En WordPress existen plugins que funcionan como un WAF, por ejemplo, WordFence Security desde ya hace algunas versiones lleva un WAF que permite bloquear ataques:

antivirus wordpress

El WAF de Wordfence tiene varios modos de funcionamiento, tiene un “LearningMode” que debemos activar al activar el WAF por primera vez para que se añadan a exclusiones las reglas necesarias y posteriormente debemos cambiar al modo “Enabled and Protection”.

El WAF de WordFence Security no es el único WAF para WordPress que existe, también hay otros como por ejemplo NinjaFirewall, un WAF potente y configurable que mejorara de forma radical la seguridad del sitio web, incluso cuando hay agujeros de seguridad en algunos componentes del sitio web.

 

 

Contraseñas Seguras

Aunque parezca una tontería, muchos sitios web afectados por malware y otro tipo de “destrozos” son infectados debido a una contraseña débil o poco adecuada.
Normalmente la gente pone en todos los sitios la misma contraseña para que sea fácil de recordar, o lo que es lo mismo, normalmente no se tiene una buena política de contraseñas.

cómo mejorar la seguridad en wordpress

Yo no puedo tirar la primera piedra, ya que alguna vez me han infectado por poner una contraseña simple en una versión de desarrollo, normalmente el problema viene en casos donde la contraseña coincide con el nombre de usuario o cuando está formada por números consecutivos como “1234”.

 

Uso de plugins y themes originales y oficiales

He querido dejar para el final este punto, ya que es el principal problema que me encuentro en las instalaciones de WordPress infectadas.

Montar un sitio web profesional y con garantías tiene unos costes, esto es algo que parece ser que muchos administradores de sitios WordPress no han llegado a entender o no han querido entender, y esto se puede ver cuando alguien instala un plugin o theme pirata descargado desde algún sitio poco fiable en su sitio web.

Los sitios web de plantillas y plugins nulled son una fuente de malware y virus para servidores y sitios web, de hecho, desgraciadamente el 99,9% de las infecciones de sitios web WordPress vienen por la instalación de un plugin o themenulled en alguna web alojada en la misma cuenta de hosting, con la correspondiente infección de todas las webs alojadas en el hosting.

¿Solución? Si crees que tu web está infectada por instalar algún tipo de elemento nulled, tienes que desinfectarla (nosotros lo hacemos a diario, ya que ofrecemos este servicio: https://raiolanetworks.es/servicios-para-wordpress/desinfectar-wordpress/).

Haz click para twittear

Actualizaciones del núcleo de WordPress, Plugins y Themes

Es muy importante mantener el núcleo de WordPress siempre actualizado, esto no quiere decir que tengamos que actualizar corriendo y deprisa horas después de existir una actualización (salvo vulnerabilidad zeroday), pero sí que es importante mantener siempre el núcleo del CMS actualizado ya que mejoraremos la seguridad.

Como hemos dicho anteriormente, WordPress es un CMS muy “infectable” ya que hay muchos atacantes buscándole las “cosquillas”, por eso el núcleo debe estar siempre protegido.

seguridad blog wordpress

Normalmente Automattic (desarrolladores de WordPress) suelen actuar rápido cuando aparece un fallo de seguridad importante en WordPress.

Por otro lado, también es muy importante actualizar los plugins y los themes, ya que estos dos componentes de personalización y mejora suelen ser el principal problema de seguridad en WordPress, ya que cuando aparece un fallo de seguridad en un plugin o en un theme, el desarrollador puede no actuar o directamente hacerlo con lentitud, provocando que cientos de miles de instalaciones de WordPress sean infectadas en cuestión de horas.

Si un plugin o un theme lleva demasiado tiempo sin actualizarse, debemos buscar una alternativa, más o menos en condiciones normales, a partir del primer año podría considerarse que el desarrollador ha abandonado el proyecto y el plugin deja de tener soporte.

mejorar seguridad en wordpress

Normalmente la mayoría de los administradores de sitios web WordPress confunden el concepto de actualizaciones, un plugin o theme actualizado NO es aquel que esta actualizado a la última versión disponible, sino que es el que esta actualizado a la última versión disponible, y esta última versión disponible es reciente.

Desde hace unas cuantas versiones, WordPress incluye actualizaciones automáticas para versiones menores de themes, plugins y del núcleo de WordPress, por otro lado los autoinstaladores como Installatron también permiten gestionar automáticamente las actualizaciones.

 

Análisis de Malware y Virus

El concepto de “antivirus” para WordPress también existe, aunque realmente se trata de plugins antimalware que nos permiten realizar análisis de malware y backdoors en los archivos del sitio web y en la base de datos.

Lo que debemos tener en cuenta, es que estos plugins que funcionan como anti-malware o antivirus, no hacen milagros, es decir, si una instalación de WordPress está infectada, debemos desinfectarla realizando un proceso completo de desinfección, no basta con pasarle un antivirus y borrar el malware, ya que la web volverá a estar infectada en relativamente poco tiempo.

proteger tu blog en wordpress

Yo normalmente confió en estos plugins para realizar análisis, aunque existen otros que pueden realizar los análisis más o menos igual:

  • Anti-malware Security and Brute-Force Firewall: Es uno de los plugins de análisis de malware en WordPress más potentes que he conocido, también es el que más recursos consume de todos los que he visto.
    La principal ventaja de Anti-malware Security and Brute-Force Firewall es que analiza todos los archivos y carpetas partiendo de la raíz de la web, además tiene una buena base de datos de detección, pero el problema es que no analiza la base de datos ni el contenido.
    Puedes encontrar más información sobre el aquí: https://es.wordpress.org/plugins/gotmls/

 

  • Wordfence Security: Es un plugin que normalmente recomiendo para varias cosas, pero en este caso, tengo que decir que su motor de análisis es simplemente brutal, analiza archivos y revisa el contenido en busca de enlaces a sitios infectados.
    Wordfence Security también tiene una buena base de datos de detección, pero quizás no es tan potente al analizar archivos como lo es Anti-malware Security and Brute-Force Firewall.
    Puedes encontrar más información sobre el plugin aquí: https://es.wordpress.org/plugins/wordfence/

 

  • AntiVirus: Es un plugin mucho más simple que los nombrados anteriormente, se trata de un plugin que analiza solo los archivos del theme activo y la base de datos en busca de algún tipo de código malicioso o inyección.
    Aunque es muy simple, mi experiencia con él es buena, y en alguna ocasión me ha detectado malware que otros plugins no me ha detectado.
    Puedes encontrar más información sobre el plugin aquí: https://es.wordpress.org/plugins/antivirus/

Todos los anteriormente nombrados son plugins para WordPress, pero si estas alojado en un servidor VPS o un servidor dedicado (en resumen, en algún servidor al que tengas acceso por consola) también puedes usar un antivirus / antimalware a nivel servidor, como por ejemplo Maldet.
En Maldet no voy a profundizar, pero si necesitas más información acerca de este antimalware, puedes encontrarla aquí: https://raiolanetworks.es/blog/desinfectar-virus-de-servidor-linux-con-maldet-y-clamav/

 

Cambio de la Url de Login

De forma predeterminada WordPress trae las URLs /wp-admin y /wp-login.php para que los usuarios y administradores puedan acceder al back-end del sitio web, evidentemente esto lo saben los atacantes, por eso es muy fácil para ellos crear bots que prueba contraseñas por fuerza bruta en estas URL hasta conseguir entrar.

¿Y qué ocurre si cambiamos estas URL por unas nuevas que no conozcan los hackers? Pues simple, si cambiamos las URL de autentificación, bloquearemos el 99% de los ataques por fuerza brutal contra las pantallas de login.

aumentar seguridad wordpress

Para esta tarea, normalmente uso el plugin Lockdown WP Admin, un plugin muy simple para WordPress que también nos permite implementar contraseña mediante .htaccess en servidores web Apache.

Aunque en el momento de escribir esto el plugin Lockdown WP Admin lleva más de un año sin actualizaciones, es un plugin tan simple que no es peligroso, salvo que aparezca una vulnerabilidad importante que le afecte.

 

Cómo protegerse de ataques de fuerza bruta

Los ataques por fuerza bruta en WordPress pueden ser bloqueados de varias maneras, tanto desde el punto de vista del servidor como de WordPress.
Evidentemente, siempre es mejor bloquearlos en el servidor o desde la red, aunque en algunos casos por diversas circunstancias debemos bloquearlos desde WordPress.

Si con cambiar la URL de login aún persisten los problemas de ataques a la parte de autentificación, también existen plugins específicos para bloquear ataques de fuerza brutal en el login, como por ejemplo LimitLoginAttemps.
Pero en este caso yo siempre suelo recomendar la funcionalidad de bloqueo de fuerza bruta de WordFence Security.

blog wordpress

La configuración que puedes ver en la imagen anterior es de WordFence Security, personalmente, es la configuración que suelo poner en la mayoría de los sitios WordPress que administro.

Si algún atacante o usuario “perdido” intenta acceder más de 3 veces con datos incorrectos o intenta recuperar la contraseña más de 3 veces, WordFence Security bloqueara su dirección IP y le impedirá seguir probando contraseñas.

 

Waf (Web Application Firewall)

Un WAF o Web Application Firewall es un sistema que permite proteger aplicaciones web de distintos tipos de ataques o inyecciones que pueden causar bastantes daños.

En WordPress existen plugins que funcionan como un WAF, por ejemplo, WordFence Security desde ya hace algunas versiones lleva un WAF que permite bloquear ataques:

antivirus wordpress

El WAF de Wordfence tiene varios modos de funcionamiento, tiene un “LearningMode” que debemos activar al activar el WAF por primera vez para que se añadan a exclusiones las reglas necesarias y posteriormente debemos cambiar al modo “Enabled and Protection”.

El WAF de WordFence Security no es el único WAF para WordPress que existe, también hay otros como por ejemplo NinjaFirewall, un WAF potente y configurable que mejorara de forma radical la seguridad del sitio web, incluso cuando hay agujeros de seguridad en algunos componentes del sitio web.

 

 

Contraseñas Seguras

Aunque parezca una tontería, muchos sitios web afectados por malware y otro tipo de “destrozos” son infectados debido a una contraseña débil o poco adecuada.
Normalmente la gente pone en todos los sitios la misma contraseña para que sea fácil de recordar, o lo que es lo mismo, normalmente no se tiene una buena política de contraseñas.

cómo mejorar la seguridad en wordpress

Yo no puedo tirar la primera piedra, ya que alguna vez me han infectado por poner una contraseña simple en una versión de desarrollo, normalmente el problema viene en casos donde la contraseña coincide con el nombre de usuario o cuando está formada por números consecutivos como “1234”.

 

Uso de plugins y themes originales y oficiales

He querido dejar para el final este punto, ya que es el principal problema que me encuentro en las instalaciones de WordPress infectadas.

Montar un sitio web profesional y con garantías tiene unos costes, esto es algo que parece ser que muchos administradores de sitios WordPress no han llegado a entender o no han querido entender, y esto se puede ver cuando alguien instala un plugin o theme pirata descargado desde algún sitio poco fiable en su sitio web.

Los sitios web de plantillas y plugins nulled son una fuente de malware y virus para servidores y sitios web, de hecho, desgraciadamente el 99,9% de las infecciones de sitios web WordPress vienen por la instalación de un plugin o themenulled en alguna web alojada en la misma cuenta de hosting, con la correspondiente infección de todas las webs alojadas en el hosting.

¿Solución? Si crees que tu web está infectada por instalar algún tipo de elemento nulled, tienes que desinfectarla (nosotros lo hacemos a diario, ya que ofrecemos este servicio: https://raiolanetworks.es/servicios-para-wordpress/desinfectar-wordpress/).

Hola @RaiolaNetworks, acabo de finalizar tu Curso cómo mejorar la seguridad en #Wordpress. Gracias.Haz click para twittear

Actualizaciones del núcleo de WordPress, Plugins y Themes

Es muy importante mantener el núcleo de WordPress siempre actualizado, esto no quiere decir que tengamos que actualizar corriendo y deprisa horas después de existir una actualización (salvo vulnerabilidad zeroday), pero sí que es importante mantener siempre el núcleo del CMS actualizado ya que mejoraremos la seguridad.

Como hemos dicho anteriormente, WordPress es un CMS muy “infectable” ya que hay muchos atacantes buscándole las “cosquillas”, por eso el núcleo debe estar siempre protegido.

seguridad blog wordpress

Normalmente Automattic (desarrolladores de WordPress) suelen actuar rápido cuando aparece un fallo de seguridad importante en WordPress.

Por otro lado, también es muy importante actualizar los plugins y los themes, ya que estos dos componentes de personalización y mejora suelen ser el principal problema de seguridad en WordPress, ya que cuando aparece un fallo de seguridad en un plugin o en un theme, el desarrollador puede no actuar o directamente hacerlo con lentitud, provocando que cientos de miles de instalaciones de WordPress sean infectadas en cuestión de horas.

Si un plugin o un theme lleva demasiado tiempo sin actualizarse, debemos buscar una alternativa, más o menos en condiciones normales, a partir del primer año podría considerarse que el desarrollador ha abandonado el proyecto y el plugin deja de tener soporte.

mejorar seguridad en wordpress

Normalmente la mayoría de los administradores de sitios web WordPress confunden el concepto de actualizaciones, un plugin o theme actualizado NO es aquel que esta actualizado a la última versión disponible, sino que es el que esta actualizado a la última versión disponible, y esta última versión disponible es reciente.

Desde hace unas cuantas versiones, WordPress incluye actualizaciones automáticas para versiones menores de themes, plugins y del núcleo de WordPress, por otro lado los autoinstaladores como Installatron también permiten gestionar automáticamente las actualizaciones.

 

Análisis de Malware y Virus

El concepto de “antivirus” para WordPress también existe, aunque realmente se trata de plugins antimalware que nos permiten realizar análisis de malware y backdoors en los archivos del sitio web y en la base de datos.

Lo que debemos tener en cuenta, es que estos plugins que funcionan como anti-malware o antivirus, no hacen milagros, es decir, si una instalación de WordPress está infectada, debemos desinfectarla realizando un proceso completo de desinfección, no basta con pasarle un antivirus y borrar el malware, ya que la web volverá a estar infectada en relativamente poco tiempo.

proteger tu blog en wordpress

Yo normalmente confió en estos plugins para realizar análisis, aunque existen otros que pueden realizar los análisis más o menos igual:

  • Anti-malware Security and Brute-Force Firewall: Es uno de los plugins de análisis de malware en WordPress más potentes que he conocido, también es el que más recursos consume de todos los que he visto.
    La principal ventaja de Anti-malware Security and Brute-Force Firewall es que analiza todos los archivos y carpetas partiendo de la raíz de la web, además tiene una buena base de datos de detección, pero el problema es que no analiza la base de datos ni el contenido.
    Puedes encontrar más información sobre el aquí: https://es.wordpress.org/plugins/gotmls/

 

  • Wordfence Security: Es un plugin que normalmente recomiendo para varias cosas, pero en este caso, tengo que decir que su motor de análisis es simplemente brutal, analiza archivos y revisa el contenido en busca de enlaces a sitios infectados.
    Wordfence Security también tiene una buena base de datos de detección, pero quizás no es tan potente al analizar archivos como lo es Anti-malware Security and Brute-Force Firewall.
    Puedes encontrar más información sobre el plugin aquí: https://es.wordpress.org/plugins/wordfence/

 

  • AntiVirus: Es un plugin mucho más simple que los nombrados anteriormente, se trata de un plugin que analiza solo los archivos del theme activo y la base de datos en busca de algún tipo de código malicioso o inyección.
    Aunque es muy simple, mi experiencia con él es buena, y en alguna ocasión me ha detectado malware que otros plugins no me ha detectado.
    Puedes encontrar más información sobre el plugin aquí: https://es.wordpress.org/plugins/antivirus/

Todos los anteriormente nombrados son plugins para WordPress, pero si estas alojado en un servidor VPS o un servidor dedicado (en resumen, en algún servidor al que tengas acceso por consola) también puedes usar un antivirus / antimalware a nivel servidor, como por ejemplo Maldet.
En Maldet no voy a profundizar, pero si necesitas más información acerca de este antimalware, puedes encontrarla aquí: https://raiolanetworks.es/blog/desinfectar-virus-de-servidor-linux-con-maldet-y-clamav/

 

Cambio de la Url de Login

De forma predeterminada WordPress trae las URLs /wp-admin y /wp-login.php para que los usuarios y administradores puedan acceder al back-end del sitio web, evidentemente esto lo saben los atacantes, por eso es muy fácil para ellos crear bots que prueba contraseñas por fuerza bruta en estas URL hasta conseguir entrar.

¿Y qué ocurre si cambiamos estas URL por unas nuevas que no conozcan los hackers? Pues simple, si cambiamos las URL de autentificación, bloquearemos el 99% de los ataques por fuerza brutal contra las pantallas de login.

aumentar seguridad wordpress

Para esta tarea, normalmente uso el plugin Lockdown WP Admin, un plugin muy simple para WordPress que también nos permite implementar contraseña mediante .htaccess en servidores web Apache.

Aunque en el momento de escribir esto el plugin Lockdown WP Admin lleva más de un año sin actualizaciones, es un plugin tan simple que no es peligroso, salvo que aparezca una vulnerabilidad importante que le afecte.

 

Cómo protegerse de ataques de fuerza bruta

Los ataques por fuerza bruta en WordPress pueden ser bloqueados de varias maneras, tanto desde el punto de vista del servidor como de WordPress.
Evidentemente, siempre es mejor bloquearlos en el servidor o desde la red, aunque en algunos casos por diversas circunstancias debemos bloquearlos desde WordPress.

Si con cambiar la URL de login aún persisten los problemas de ataques a la parte de autentificación, también existen plugins específicos para bloquear ataques de fuerza brutal en el login, como por ejemplo LimitLoginAttemps.
Pero en este caso yo siempre suelo recomendar la funcionalidad de bloqueo de fuerza bruta de WordFence Security.

blog wordpress

La configuración que puedes ver en la imagen anterior es de WordFence Security, personalmente, es la configuración que suelo poner en la mayoría de los sitios WordPress que administro.

Si algún atacante o usuario “perdido” intenta acceder más de 3 veces con datos incorrectos o intenta recuperar la contraseña más de 3 veces, WordFence Security bloqueara su dirección IP y le impedirá seguir probando contraseñas.

 

Waf (Web Application Firewall)

Un WAF o Web Application Firewall es un sistema que permite proteger aplicaciones web de distintos tipos de ataques o inyecciones que pueden causar bastantes daños.

En WordPress existen plugins que funcionan como un WAF, por ejemplo, WordFence Security desde ya hace algunas versiones lleva un WAF que permite bloquear ataques:

antivirus wordpress

El WAF de Wordfence tiene varios modos de funcionamiento, tiene un “LearningMode” que debemos activar al activar el WAF por primera vez para que se añadan a exclusiones las reglas necesarias y posteriormente debemos cambiar al modo “Enabled and Protection”.

El WAF de WordFence Security no es el único WAF para WordPress que existe, también hay otros como por ejemplo NinjaFirewall, un WAF potente y configurable que mejorara de forma radical la seguridad del sitio web, incluso cuando hay agujeros de seguridad en algunos componentes del sitio web.

 

 

Contraseñas Seguras

Aunque parezca una tontería, muchos sitios web afectados por malware y otro tipo de “destrozos” son infectados debido a una contraseña débil o poco adecuada.
Normalmente la gente pone en todos los sitios la misma contraseña para que sea fácil de recordar, o lo que es lo mismo, normalmente no se tiene una buena política de contraseñas.

cómo mejorar la seguridad en wordpress

Yo no puedo tirar la primera piedra, ya que alguna vez me han infectado por poner una contraseña simple en una versión de desarrollo, normalmente el problema viene en casos donde la contraseña coincide con el nombre de usuario o cuando está formada por números consecutivos como “1234”.

 

Uso de plugins y themes originales y oficiales

He querido dejar para el final este punto, ya que es el principal problema que me encuentro en las instalaciones de WordPress infectadas.

Montar un sitio web profesional y con garantías tiene unos costes, esto es algo que parece ser que muchos administradores de sitios WordPress no han llegado a entender o no han querido entender, y esto se puede ver cuando alguien instala un plugin o theme pirata descargado desde algún sitio poco fiable en su sitio web.

Los sitios web de plantillas y plugins nulled son una fuente de malware y virus para servidores y sitios web, de hecho, desgraciadamente el 99,9% de las infecciones de sitios web WordPress vienen por la instalación de un plugin o themenulled en alguna web alojada en la misma cuenta de hosting, con la correspondiente infección de todas las webs alojadas en el hosting.

¿Solución? Si crees que tu web está infectada por instalar algún tipo de elemento nulled, tienes que desinfectarla (nosotros lo hacemos a diario, ya que ofrecemos este servicio: https://raiolanetworks.es/servicios-para-wordpress/desinfectar-wordpress/).

Hola @RaiolaNetworks, acabo de finalizar tu Curso cómo mejorar la seguridad en #Wordpress. Gracias.Haz click para twittear

Conclusiones finales de cómo mejorar la seguridad en WordPress

Si te tomas en serio todos los puntos nombrados anteriormente, tu sitio web estará seguro y no tendrás que preocuparte por el malware o las infecciones.

Personalmente, a los puntos que más importancia les doy siempre es a los relacionados con la prevención: no instalar elementos nulled, tener todo siempre actualizado y bloquear ataques con un WAF.

Consultor especializado en WordPress y co-fundador de Raiola Networks, un proveedor de hosting especializado en la administración de servidores Linux y en WordPress.

 

 

Enlaces:

Webs: https://raiolanetworks.es/blog/

Twitter: https://twitter.com/RaiolaNetworks

Facebook: https://www.facebook.com/RaiolaNetworks

Si te gusta el Curso 365 Mkt, apoya con tu voto mi Blog en los Premios Bitácoras 2016. Mil gracias! 😉

premios bitacoras 2016 blog