7 Consejos para aumentar la seguridad en WordPress

Hace tan solo unos días se ha conocido un nuevo problema de seguridad en WordPress, motivado por una vulnerabilidad de un plugin muy popular para hacer slider llamado Revolution Slider.

Este nuevo malware ha sido capaz de infectar más de 100.000 Blogs en WordPress en un plazo muy breve de tiempo, que tenían instalado el citado plugin, y lo cierto es que este plugin se volvió muy popular porque viene incrustado dentro de muchos themes profesionales.

Este nuevo malware, conocido con el nombre SoakSoak, ha conseguido que Google bloquee a más de 11.000 Blogs en WordPress en cuestión de horas.

¿Qué nos puede acarrear este fallo de seguridad en WordPress?

Este nuevo malware se conecta a través de una puerta trasera al servidor de archivos y modifica el fichero “wp-includes/template-loader.php”, incrustando un script que llama a esta url http://122.155.168.105/ads/inpage/pub/collect.js y replicando este script por todo nuestro sitio web y modificando archivos en las carpetas wp-admin, wp-includes, plugins y la raíz, llegando también a infectar archivos de nuestro theme. Este contagio puede llegar a alcanzar decenas de archivos y con ello creando un serio problema de seguridad en WordPress.

2 días después de su aparición, Google ha metido la anterior IP en una lista negra de SPAM, bloqueando así decenas de miles de Blogs, y el malware ha sido modificado para incluir un nuevo script con direcciones IP distintas para seguir con su contagio.

¿Cómo podemos saber si nuestro WordPress ha sido contagiado?

herramientas para analizar wordpress

La manera más sencilla y rápida de detectarlo es hacer un análisis con esta herramienta de seguridad web, aunque vuelvo hacer hincapié que si no tienes el plugin Revolution Slider no tienes nada que temer del malware SoakSoak.

Otra forma de hacerlo es ir a tu gestor de archivos y revisar la fecha de modificación de los archivos de la raíz, si encuentras uno que haya sido modificado esta semana, procede a abrirlo y busca el script que he citado anteriormente.

Cómo protegerse de SoakSoak y otros Malware

La forma más segura de proteger nuestro WordPress de SoakSoak y otros Malware es contar un con un plugin que haga de Firewall interno, lo único que ocurre es que son muy pocos las web o blogs que deciden aumentar la seguridad instalando un plugin de cortafuegos.

Para finalizar este post me gustaría daros 7 consejos para mejorar la protección en WordPress.

Consejos para incrementar la seguridad en WordPress

1.- Actualización

Es muy importante que dispongamos siempre de una versión actualizada de:

  • WordPress.
  • Plugins.
  • Theme.

Desde ayer está disponible la versión de WordPress 4.1

 2.- Copias de seguridad

Si tienes un buen hosting, podrás programar desde la página de tu servidor el que realice copias de seguridad periódicas de tu página web, y con ello podrás restaurar en pocos minutos en caso de que sea necesario.

También puedes hacer copias de seguridad a través de estos plugins de WordPress:

UpdraftPlus Backup and Restoration

UpdraftPlus Backup Restoration

Podrás hacer completos backup y enviarlos a Dropbox, Google Drive, Ftp, Email, etc., aunque también restaurar una copia de seguridad.

BackWPup Free – WordPress Backup Plugin

Back Pup Free plugin seguridad wordpress

Automatiza de forma sencilla tus copias de seguridad en WordPress y decide donde quieres guardarlas.

WordPress Backup to Dropbox

WordPress Backup to Dropbox

Haz tus copias de WordPress de forma muy sencilla y guárdalas en tu cuenta de Dropbox.

 

3.- Elige un buen hosting

No debemos elegir un hosting únicamente por su precio o por la amabilidad de los comerciales que nos atienden, en la elección debe primar sobre todo las garantías de seguridad que nos aporta la empresa.

4.- Acceso seguro

Solo con el simple gesto de cambiar el usuario “admin” que trae por defecto WordPress por otro estaremos aumentando la seguridad, pero también es recomendable otras formas como son:

  1. No elegir una contraseña trivial y fácil de adivinar.
  2. No revelar ni enviar nunca esa contraseña.
  3. Elegir contraseñas diferentes a las de otras herramientas.
  4. Cambiar  la contraseña con cierta regularidad.

5.- No instales nada que no proceda de un sitio fiable

Debemos tener mucho cuidado a la hora de instalar un theme o un plugin, ya que sí la fuente donde lo descargamos no es fiable, nos podría ocurrir que le estemos abriendo las puertas a una malware o facilitando que nos hackeen la página.

Por lo tanto si quieres descargar plugins hazlo solo desde la página oficial de WordPress, y si quieres descargar un theme solo hazlo desde una página contrastada y fiable.

6.- No instales plugins desactualizados u obsoletos

En la página oficial de WordPress encontrarás miles de plugins que te serán de mucha ayuda para tu web o blog, pero si quieres tener una garantía de seguridad solo instala y confía en plugins que sus creadores mantienen y actualizan constantemente.

En ningún caso es recomendable instalar plugins que lleva años o muchos meses sin actualizarse.

7.- Instala un plugin de seguridad en WordPress

Te recomiendo estos 2 plugins de seguridad, ya que son dos fantásticos Firewall internos para nuestro WordPress, y que nos ayudarán a prevenir todo tipo de ataques y malware.

iThemes Security

ithemes security plugin wordpress

Este plugin de seguridad para WordPress lo podrás encontrar en versión gratuita y de pago, y te protegerá más de 30 ataques conocidos contras esta plataforma web.

Wordfence Security

wordfence security plugin wordpress

Muy buen plugin de seguridad que podrás utilizar también de forma gratuita y de pago, y que te ayudará a tu sitio web sea más seguro.

La versión gratuita es algo limitada y te avisa al correo electrónico, mientras que la de pago tenemos todas sus funcionalidades y podremos ser avisados a nuestro teléfono móvil.

7 Consejos para aumentar la seguridad en WordPress infografía

Gracias a Shutterstock por ceder las imágenes PixsoozIngka D. Jiw y Ira Yapanda

Conclusiones sobre la Seguridad en WordPress

  • No esperes a tener un problema para tomar medidas.
  • Si tienes una web en WordPress desactualizada estarás abriendo las puertas de “par en par” a cualquier hacker.
  • Es muy recomendable hacer copias de seguridad de manera regular.
  • Elige un buen hosting y te sentirás mucho más seguro.

Espero que este os post ayude a proteger y hacer más seguros vuestros sitios web en WordPress.

¿Utilizas algún plugin de seguridad en WordPress?

¿Crees que es importante proteger un sitio web?

Si te ha gustado el artículo, puedes compartirlo con un amigo/a.

premios educa