20 apuntes de optimización de seguridad para WordPress

20 apuntes de seguridad para Wordpress

20 apuntes de optimización de seguridad para WordPress

Si tenéis una página web (o pensáis hacer una) para vuestro negocio, empresa o proyecto personal, uno de los factores más importantes a tener en cuenta es la seguridad. Independientemente del tipo de web que construyáis, securizar su contenido y proteger los datos almacenados, debe ser una prioridad y dentro de las muchas opciones que hay, nos vamos a centrar en la seguridad para WordPress.

Además del diseño, la adaptación para móviles, la velocidad de carga o la experiencia de usuario, será importante proteger nuestra web de accesos indebidos o ataques malintencionados. Al menos, si queremos vivir más tranquilos y mantener una buena imagen de marca en internet. Si nuestro proyecto está desarrollado en WordPress, el factor seguridad nos conviene tenerlo presente y al día.

La web, mejor cuánto más segura

Una vez se inicia uno en el ámbito de la protección web, es fácil darse cuenta de una triste realidad. Ningún sistema es completamente infalible. Por desgracia, cerrar puertas en el mundo 2.0 es tan fácil como abrirlas. A veces lo segundo es incluso más sencillo. Y esos coladeros son el caramelo perfecto para atraer a los hackers más aburridos, los bots multitarea, los xploit mejor programados y otras fieras del entorno pirata en las redes y que si no les paras los pies, son capaces de entrar hasta la cocina de nuestra página y prepararse un Cola-cao con nuestros datos más importantes.

Dicho esto, WordPress resulta ser una de las herramientas más fiables entre el abanico de posibilidades actuales, en cuanto a CMS (gestores de contenidos) se refiere. Aun así, como en todo, esta aplicación tiene sus vulnerabilidades (especialmente cuando no se mantiene actualizada) y sobre todo cuando se comete el error de pensar, que, hecha la web, ya no hay nada más que hacer.

Hay que trabajar en la seguridad para WordPress

Aplicable a otros aspectos como el SEO o la gestión de social media, con nuestra página web no podemos caer en el error de pensar que basta con crearla y dejarla actuar, como una pastilla efervescente de actuación rápida. Nuestra web es nuestra mejor tarjeta de visita, carta de presentación, catálogo de productos e incluso punto de venta, las 24 horas del día y todos los días del año. Pero por mucho que queramos, no trabaja sola.

En el terreno de la seguridad, conviene por un lado, tener en cuenta algunos parámetros a la hora de crearla. Por otro, es adecuado implementar ciertas mejoras a medida que la página alcanza un recorrido y por último estar siempre con un ojo puesto en la evolución de este sector en constante cambio. Se puede intentar atajar los requerimientos uno mismo, aunque siempre es recomendable acudir a profesionales del desarrollo de páginas web si se duda o no se es experto en la materia.

Hay multitud de artículos interesantes sobre la protección de WordPress y recopilatorios útiles de herramientas y recursos para aumentar su seguridad, pero en este post os vamos a resumir un pequeño plan de actuación en materia de seguridad para WordPress.

PLAN 14/20: Seguridad para WordPress

Dentro de las muchas opciones que tenemos, os proponemos la aplicación de un plan de mínimo 14 puntos, de un total de 20. Esto es, que no todas las herramientas servirán para todas las webs, o bien que algunos puntos se podrían llegar a solapar. La realidad, es que habrá que estudiar qué tipo de web tenemos, para decidir qué tipo de seguridad para WordPress queremos implementar, pero como decíamos, con al menos diez, de estos dieciséis tips de seguridad.

– ACCESO –

  • Cambiar usuario inicial / contraseña robusta: Parece obvio, pero son muchos a los que pillan en renuncio por una contraseña “1234” mal planteada, o bien por dejar el usuario “Admin” por defecto de la mayoría de las aplicaciones. Piensa un nombre lo más personalizado posible y para la pass puedes usar un generador de claves, que encripte con caracteres, números, mayúsculas y letras tu contraseña.
  • Incluir control captcha en formularios y registros: Además de ayudarnos con el spam, integrar el reCaptcha de Google puede ayudarnos a impedir ciertos procesos robotizados de acceso a nuestro sitio.
  • No usar correo electrónico para acceder: Parece una tontería, pero evitando esto restamos una opción fácil a un hacker, de acceder a nuestro sitio. Recuerda, nombres de usuario personalizados.
  • Cambiar url de acceso al admin: Interesante, no como medida única, sino como manera de complicar un poco la vida a los que intenten acceder de forma malintencionada ocultando la rura habitual de acceso de WordPress (wp-admin o wp-login.php).
  • Login en 2 pasos: Se trata de métodos por los que el acceso depende de dos credenciales, una complementaria a nuestra clave habitual. Puede ser un sms a nuestro móvil o un código requerido por mail.
  • Doble pass para acceder: Con un sencillo código (si se tienen conocimiento de HTML, PHP y CSS), podemos integrar un segundo requerimiento de clave, además del que ofrece el administrador de WordPress. En este caso usando la propia seguridad del servidor, podemos proteger el directorio de gestión, con un clave paralela a la del CMS.
  • Limitar acceso por IP: Diversos plugins (pero también a código o usando htaccess) pueden limitar el acceso solo a IP’s seguras de una lista blanca de usuarios.

 

– PROTECCIÓN –

  • Controlar los permisos de las carpetas y archivos: Verifica y restringe los permisos de Lectura, Escritura y Ejecución de archivos y carpetas, para mayor protección, limitando su acceso lo máximo posible.
  • Conectar Search Console de Google: La herramienta de Google (antigua Webmaster Tools) está cargada de funcionalidades útiles tanto para SEO como para la seguridad de nuestra página. Además, tener WordPress configurado con Search Console nos permitirá recibir alertas importantes sobre vulnerabilidades o deficiencias de nuestro sitio.
  • Aplicar controles y límites a los usuarios: Tanto si es una página colaborativa con varios editores como si la tenemos abierta al registro de usuarios, puede servir el instalar plugins de gestión de usuarios, con funciones ampliadas al que viene por defecto en WordPress, restringiendo las capacidades de uso de cada uno.
  • Crear un CDN o usar VPN para acceder: Importante acceder siempre desde redes seguras. Puedes usar un gestor de contenidos remotos (CDN) como CloudFlare o bien usar un servicio VPN de terceros para cifrar el tráfico y ofuscar los intentos malintecionados de acceso a la información.
  • Protegerse del spam: Hay multitud de plugins que protegerán tu web de spam en los comentarios o en los formularios de contacto. Akismet o Antispam Bee son de los más completos.
  • Plugin de seguridad: Hay opciones muy completas, que incluyen varias funciones de seguridad, reduciendo el número de plugins a instalar. Lo importante es revisar que combine las más adecuadas para nuestras necesidades. Wordfence es uno de los mejores.
  • Limitar los intentos de conexión: Es conveniente impedir que puedan lanzar un ataque de fuerza bruta sobre nuestra página, para lo que provocan un número desproporcionado de intentos de acceso, hasta que encuentran un agujero o bien saturan el servidor. Lockdown o Limit login attemps, son buenas opciones.
  • Optimizar archivos .htaccess y robots.txt: Hay opciones muy completas, que incluyen varias funciones de seguridad, reduciendo el número de plugins a instalar. Lo importante es revisar que combine las más adecuadas para nuestras necesidades. Wordfence es uno de los mejores.
  • Antivirus en tu pc: Algo básico, pero lógico. Con un ordenador de trabajo limpio, tendremos webs más seguras.

 

– RESPALDO –

  • Backups y actualizaciones constantes: Conviene mantener WordPress y los plugins que tengamos instalados actualizados y optimizados. Muchos de los problemas con accesos indebidos se deben a aplicaciones obsoletas y con fallos de seguridad conocidos por los hackers.
  • Eliminar archivos obsoletos o de muestra: Los archivos de ejemplo que vienen con WordPress, así como ciertos archivos de instalación, pueden ser sensibles de usarse para acceder remotamente u obtener información útil para manipular la web.
  • Monitorizar cambios y accesos: Muchos plugins te darán información de archivos o directorios modificados y login de accesos, para que puedas tener muy presente qué se hace en tu web cuando tú no estás.
  • Cambiar prefijo base de datos: Uno de los sencillitos, que conviene hacer antes de nada durante la instalación de WordPress pero si se te olvida, tranquilo, hay opciones a posteriori.
20 apuntes de seguridad para Wordpress

A TENER EN CUENTA

Algunos de estos aspectos no son tareas a realizar directamente o incluso ni siquiera tendrán que ver con nosotros sino con algún tercero implicado, pero conviene echarles un vistazo para complementar nuestras propias acciones. Además, son servicios con costes específicos que se deben estudiar en cada caso.

  • Contratar un buen hosting es más de la mitad de nuestro esfuerzo en una buena seguridad. Un hospedaje de calidad hará que, llegado el caso, hasta podáis prescindir de vuestras propias tareas de seguridad, o al menos reducirlas.
  • Certificado SSL. Contratar un certificado de seguridad para nuestra web, es un refuerzo que no depende de nosotros sino de un servicio externo, bien de pago, bien gratuito (como ahora que está a la orden del día, que los proveedores de hosting ofrezcan Let’s encrypt en sus servicios) y recomendables, sobre todo, en proyectos de comercio electrónico.
  • Cuidado con las descargas ilegales. No es que queramos hacer bandera de los sitios de recursos de pago (que un poco sí) o de la contratación de servicios profesionales de diseño web (que también), pero lo cierto es que, si descargas themes o plugins de webs de recursos gratis, es probable que te encuentres con códigos manipulados o inyecciones maliciosas en el core de la aplicación.

FALSOS MITOS

“Con instalar un plugin de seguridad basta”

Cometemos el error de banalizar muchas cosas por la creencia de, no me va a pasar a mí. Es un error. Pasa, constantemente y cuando menos te lo esperas. Al no ser la web de un periódico importante ni la de una marca de refrescos creemos que no somos interesantes para los hackers o que no estamos en el radar de los bots malciosos. Confiar en remedios maravillosos –Todo-En-Uno- o creer que aplicar un par de herramientas de seguridad que todo el mundo menciona, es otro error que puede pasarnos factura. Una pregunta, ¿si tuvieras una casa con muchas puertas y ventanas, conectarías la alarma sólo en una de ellas?

“Cuanto más mejor”

Sí, pero con cabeza. Es cierto que recomendamos no quedarse corto y confiar en una seguridad basada en varios elementos. Es decir, proponemos la “construcción de la casa” en base a múltiples pilares y bien distribuidos, pero tampoco es necesario instalar 3 o 4 plugins que hagan lo mismo, o recargar nuestra web con add-ons que se podrían solventar con alguna modificación de código. En definitiva, es recomendable estudiar las funciones de cada plugin o módulo que vayamos a implementar para estar seguros que no generan conflictos entre sí o que son la opción más optimizada para nuestra web (cada página es un mundo y no a todas les sirve lo mismo).