7 Consejos para aumentar la seguridad en Wordpress
Hace tan solo unos días se ha conocido un nuevo problema de seguridad en Wordpress, motivado por una vulnerabilidad de un plugin muy popular para hacer slider llamado Revolution Slider.
Este nuevo malware ha sido capaz de infectar más de 100.000 Blogs en Wordpress en un plazo muy breve de tiempo, que tenían instalado el citado plugin, y lo cierto es que este plugin se volvió muy popular porque viene incrustado dentro de muchos themes profesionales.
Índice de Contenidos
- 1 7 Consejos para aumentar la seguridad en Wordpress
- 2 ¿Qué nos puede acarrear este fallo de seguridad en Wordpress?
- 3 ¿Cómo podemos saber si nuestro Wordpress ha sido contagiado?
- 4 Cómo protegerse de SoakSoak y otros Malware
- 5 Consejos para incrementar la seguridad en Wordpress
- 6 Conclusiones sobre la Seguridad en Wordpress
Este nuevo malware, conocido con el nombre SoakSoak, ha conseguido que Google bloquee a más de 11.000 Blogs en Wordpress en cuestión de horas.
¿Qué nos puede acarrear este fallo de seguridad en Wordpress?
Este nuevo malware se conecta a través de una puerta trasera al servidor de archivos y modifica el fichero “wp-includes/template-loader.php”, incrustando un script que llama a esta url http://122.155.168.105/ads/inpage/pub/collect.js y replicando este script por todo nuestro sitio web y modificando archivos en las carpetas wp-admin, wp-includes, plugins y la raíz, llegando también a infectar archivos de nuestro theme. Este contagio puede llegar a alcanzar decenas de archivos y con ello creando un serio problema de seguridad en Wordpress.
2 días después de su aparición, Google ha metido la anterior IP en una lista negra de SPAM, bloqueando así decenas de miles de Blogs, y el malware ha sido modificado para incluir un nuevo script con direcciones IP distintas para seguir con su contagio.
¿Cómo podemos saber si nuestro Wordpress ha sido contagiado?
La manera más sencilla y rápida de detectarlo es hacer un análisis con esta herramienta de seguridad web, aunque vuelvo hacer hincapié que si no tienes el plugin Revolution Slider no tienes nada que temer del malware SoakSoak.
Otra forma de hacerlo es ir a tu gestor de archivos y revisar la fecha de modificación de los archivos de la raíz, si encuentras uno que haya sido modificado esta semana, procede a abrirlo y busca el script que he citado anteriormente.
Cómo protegerse de SoakSoak y otros Malware
La forma más segura de proteger nuestro Wordpress de SoakSoak y otros Malware es contar un con un plugin que haga de Firewall interno, lo único que ocurre es que son muy pocos las web o blogs que deciden aumentar la seguridad instalando un plugin de cortafuegos.
Para finalizar este post me gustaría daros 7 consejos para mejorar la protección en Wordpress.
Consejos para incrementar la seguridad en Wordpress
1.- Actualización
Es muy importante que dispongamos siempre de una versión actualizada de:
- Wordpress.
- Plugins.
- Theme.
Desde ayer está disponible la versión de Wordpress 4.1
2.- Copias de seguridad
Si tienes un buen hosting, podrás programar desde la página de tu servidor el que realice copias de seguridad periódicas de tu página web, y con ello podrás restaurar en pocos minutos en caso de que sea necesario.
También puedes hacer copias de seguridad a través de estos plugins de Wordpress:
UpdraftPlus Backup and Restoration
Podrás hacer completos backup y enviarlos a Dropbox, Google Drive, Ftp, Email, etc., aunque también restaurar una copia de seguridad.
BackWPup Free – WordPress Backup Plugin
Automatiza de forma sencilla tus copias de seguridad en Wordpress y decide donde quieres guardarlas.
WordPress Backup to Dropbox
Haz tus copias de Wordpress de forma muy sencilla y guárdalas en tu cuenta de Dropbox.
3.- Elige un buen hosting
No debemos elegir un hosting únicamente por su precio o por la amabilidad de los comerciales que nos atienden, en la elección debe primar sobre todo las garantías de seguridad que nos aporta la empresa.
4.- Acceso seguro
Solo con el simple gesto de cambiar el usuario “admin” que trae por defecto Wordpress por otro estaremos aumentando la seguridad, pero también es recomendable otras formas como son:
- No elegir una contraseña trivial y fácil de adivinar.
- No revelar ni enviar nunca esa contraseña.
- Elegir contraseñas diferentes a las de otras herramientas.
- Cambiar la contraseña con cierta regularidad.
5.- No instales nada que no proceda de un sitio fiable
Debemos tener mucho cuidado a la hora de instalar un theme o un plugin, ya que sí la fuente donde lo descargamos no es fiable, nos podría ocurrir que le estemos abriendo las puertas a una malware o facilitando que nos hackeen la página.
Por lo tanto si quieres descargar plugins hazlo solo desde la página oficial de Wordpress, y si quieres descargar un theme solo hazlo desde una página contrastada y fiable.
6.- No instales plugins desactualizados u obsoletos
En la página oficial de Wordpress encontrarás miles de plugins que te serán de mucha ayuda para tu web o blog, pero si quieres tener una garantía de seguridad solo instala y confía en plugins que sus creadores mantienen y actualizan constantemente.
En ningún caso es recomendable instalar plugins que lleva años o muchos meses sin actualizarse.
7.- Instala un plugin de seguridad en Wordpress
Te recomiendo estos 2 plugins de seguridad, ya que son dos fantásticos Firewall internos para nuestro Wordpress, y que nos ayudarán a prevenir todo tipo de ataques y malware.
iThemes Security
Este plugin de seguridad para Wordpress lo podrás encontrar en versión gratuita y de pago, y te protegerá más de 30 ataques conocidos contras esta plataforma web.
Wordfence Security
Muy buen plugin de seguridad que podrás utilizar también de forma gratuita y de pago, y que te ayudará a tu sitio web sea más seguro.
La versión gratuita es algo limitada y te avisa al correo electrónico, mientras que la de pago tenemos todas sus funcionalidades y podremos ser avisados a nuestro teléfono móvil.
Gracias a Shutterstock por ceder las imágenes Pixsooz, Ingka D. Jiw y Ira Yapanda
Conclusiones sobre la Seguridad en Wordpress
- No esperes a tener un problema para tomar medidas.
- Si tienes una web en Wordpress desactualizada estarás abriendo las puertas de “par en par” a cualquier hacker.
- Es muy recomendable hacer copias de seguridad de manera regular.
- Elige un buen hosting y te sentirás mucho más seguro.
Espero que este os post ayude a proteger y hacer más seguros vuestros sitios web en Wordpress.
¿Utilizas algún plugin de seguridad en Wordpress?
¿Crees que es importante proteger un sitio web?
Si te ha gustado el artículo, puedes compartirlo con un amigo/a.
Consultor de Marketing Digital y Social Media, y Director de la Escuela Marketing and Web.
Autor de los libros “Curso de Marketing Digital” con 3 ediciones y varias veces TOP ventas en Amazon, y “Curso Especialista de Publicidad Online y Embudos de Venta”. Graduado por la Universidad de Cádiz, y con una amplia experiencia de más de 10 años como analista de datos y en marketing digital, antes de lanzar su propia formación.
8 comentarios
Si me lo permites uno más.
No instalar más de un wordpress ya que estos terminan desactualizados.
Ayer me llamaron porque tenía un virus (SoakSoak), cuando entré en su ftp vi que tenía para el mismo dominio 7 wordpress instalados. Menos mal que con borrar unos ficheros todo se solucionó.
Hola Fernando,
Sí, ha sido una semanita movidita con este malware. Aunque me imagino que lo sabes, la vulnerabilidad llega por el plugin Revolution Slider, por lo que lo mejor es mandarlo a “freir espárragos” y así no volverás a recibir un nuevo ataque en ese mismo Blog (al menos de nombre SoakSoak), repiten de nuevo el ataque cada día o cada 2 días.
Un abrazo amigo! 🙂
Hola,
recomiendas el uso de “iThemes Security” entre otros motivos para evitar el ataque de SoakSoak pero ¿Hay que configurarlo de alguna manera determinada? ¿Que es realmente lo que hace ithemes sscurity para evitar el ataque?
gracias
Hola Mika,
Este plugin es complejo y no lo instalaría si no tuviera conocimientos técnicos ya que puede afectar al funcionamiento del Blog, si quieres instalarlo pídele a alguien que conozcas que te lo configure correctamente.
Un saludo y gracias por pasarte a comentar
Gracias por el post. Uso el Rev slider y no tenía ni idea de este malware.
Hola Marc,
así es, pero no todos los wordpress que lo tenían instalado han sido afectados.
Un saludo y gracias por pasarte a comentar! 🙂
Si tenemos en cuenta que para muchos de nosotros nuestros blogs son nuestras fuentes de ingresos, vaya si deberemos cuidarlas de amenazas que nos puedan tirar el sitio abajo literalmente. Hacer copias de seguridad, mantener la versión de WordPress, plugins y themes actualizados no cuesta nada. Si encima hay recursos como estos Plugins para mejorar la seguridad, no hay excusas para no usarlos. Saludos.
Especialmente Mauricio ahora,que tantos ataques malware se están realizando, llevando a algún hosting español a bloquear las ips de todo un pais.
Un saludo y gracias por pasarte a comentar