15 recomendaciones de seguridad para WordPress

La seguridad de nuestro WordPress es uno de los principales problemas a los que nos enfrentamos cuando tenemos nuestro blog en un servidor propio, y si no tenemos un poco de cuidado, es muy posible que nos ataquen o pirateen el blog antes de lo que pensamos. No hace falta ser un blog famoso o grande para recibir ataques, ya que hay muchos “aprendices de hacker” que buscan en Internet cualquier página con vulnerabilidades para entretenerse un poco. Sigue estos consejos para que les resulte mucho más difícil atacar tu blog WordPress.

1. Cambiar el nombre de usuario del admin

Por defecto hasta hace unas versiones WordPress llamaba al usuario principal “admin”, que era el que usábamos para entrar en la administración. Esto es un grave problema de seguridad ya que es más fácil averiguar una contraseña que una contraseña y un usuario. Por suerte, es fácil arreglar este problema, siguiendo nuestra guía para cambiar el nombre por defecto de WordPress.

2. Usar contraseñas eficaces

La contraseña es casi la única forma de evitar que entre nadie indeseable en la administración o en el ftp del servidor. Para ello, hay que usar siempre contraseñas de más de 10 caracteres, en la que se usen letras y números. Si también hay caracteres especiales (#$%&/~) pues mejor.

Aunque nuestro blog todavía esté en pruebas, nunca, nunca, nunca de los jamases uses contraseñas del tipo “pass”, “1234”, “good”, o cualquier otra tontería, pues siempre pueden meter un malware en nuestro blog y no descubrirlo hasta pasados unos meses, algo que puede afectar gravemente a nuestro posicionamiento.

Es importante que nuestra contraseña del FTP y de la base de datos también sea compleja, a ser posible creada de forma aleatoria con un generador de contraseñas como éste.

3. Quitar información de la versión de WordPress

Está muy bien decir al mundo que usamos WordPress como plataforma para publicar, pero al mundo no le interesa saber si estamos con la versión 3.4, 3.5 o 4.1. Hay muchos themes comprados que muestran el “apellido” de nuestro WordPress, y hay una forma muy sencilla de ocultarlo. Añadir las siguientes líneas al archivo functions.php de nuestro theme:


//Elimina referencias a la versión de WordPress
add_filter('the_generator', create_function('', 'return "";'));

Con esto conseguimos ocultar el número de versión de WordPress tanto en el código como en la parte visible.

4. No tocar el código de WordPress

Por mucho que encontremos en Internet una forma de hacer algo que necesitemos, y para ello haya que cambiar algún archivo dentro de wp-admin, wp-content o wp-includes, nunca, nunca, nunca jamás cambies un archivo de sistema de WordPress. La modificación que hagamos se perderá en la siguiente actualización, y puede que abramos un agujero de seguridad sin darnos cuenta.

Lo único que podemos editar en WordPress son los archivos del tema (en wp-content/themes/) o de algún plugin que estemos desarrollando. Los demás archivos, pecado capital modificarlos.

5. Tener siempre actualizado WordPress a la última versión

Esto es algo bastante evidente, pero muchas veces por temor, dejadez o pereza dejamos para otro día el actualizar nuestro blog, y con ello aumentan las posibilidades de un acceso no autorizado a través de un bug conocido y corregido en WordPress, pero no en nuestro blog.

Si usamos un theme decente y plugins actualizados, no debería haber ningún problema grave. Puede que falle algún javascript, pero el blog seguirá funcionando.

Eso sí, antes de cualquier actualización, realiza un backup de la base de datos y de todos los archivos, por si hay algún problema. Si tienes algún problema y no sabes como arreglarlo, te ofrecemos nuestra asistencia rápida ante problemas en WordPress.

Ejemplo de WordPress actualizado

Ejemplo de WordPress actualizado

6. No usar themes / plugins descargados de cualquier sitio

A todos, cuando empezamos con nuestro blog, nos encanta probar un montón de themes, hasta encontrar ese que nos guste. Eso sí, hay que tener mucho cuidado de donde bajamos el theme, y recomiendo usar sólo los que podemos instalar a través de gestor de Temas de nuestro blog. Hay empresas que venden themes “pro”, pero no los recomiendo porque tienen tantas opciones y le meten tantas cosas a WordPress, que más bien pronto que tarde nos dará problemas. Lo mejor, editar el theme base (twenty twelve), o desarrollar uno a partir de él.

En cuanto a los plugins, más de lo mismo. Instalarlos sólo a través de la sección Plugins de nuestro WordPress. Así nos aseguramos de que son legales y no contienen código maligno.

7. No mostrar el listado de archivos

Este problema ocurre cuando accedemos a un directorio de nuestro blog y mágicamente vemos todos los archivos que hay dentro de él, en vez de una página vacía. Aunque parece algo inofensivo, porque todo el mundo sabe que archivos tiene WordPress, puede ser un problema bastante grande. Para comprobar si ocurre en nuestro blog, tan sólo tenemos que acceder a algún directorio a través del navegador. Por ejemplo, http://miblog.com/wp-content/themes/.

Si vemos algo diferente a una pantalla en blanco, entonces estamos mostrando los archivos. para evitarlo hay dos formas:

– Añadir un archivo index.html sin nada en todos los directorios (muy laborioso)

– Añadir al principio del archivo .htaccess la siguiente línea:


#Previene el listado de directorios
Options -Indexes

8. Darse de alta en Pingdom

Seguro que nos gustaría que nos avisaran al email cuando nuestro blog no está disponible, para así comprobar si es por un fallo del servidor o por cualquier otro problema. Esto es exactamente lo que hace Pingdom, nos envía un email cuando nuestra web deja de estar disponible, y otro cuando vuelve a estar operativa. Además, a final de mes nos envía otro email con el % de uptime (tiempo disponible) de nuestra web. En muchos servidores un uptime inferior al 99% es motivo para que nos devuelvan parte del dinero, y que mejor que comprobarlo con un servicio externo fiable.

La cuenta free permite registrar una web y realiza checkeos cada 5 minutos.

Web Pingdom

9. Inscribir la web en WebSiteDefender

Si Pingdom es ideal para saber cuando nuestro blog está caído, WebSiteDefender nos avisa cuando hay algún fallo de seguridad, como archivos cambiados, nueva versión de WordPress, permisos incorrectos, emails visibles, o cualquier otra vulnerabilidad. Ofrecen una cuenta gratis para registrar un blog, y para que funcione correctamente hay que copiar en nuestro servidor el archivo que nos dan.

Una buena solución para tener nuestro blog WordPress monitorizado, y así evitar sorpresas ante malwares, defaces, virus y hackeos. También ofrecen unos cuantos plugins de seguridad, pero creo que una comprobación externa es más eficaz que una propia, ya que el propio plugin podría desactivarlo un hacker sin darnos cuenta.

WebSiteDefender

10. Usar un prefijo para las tablas de la base de datos

Al instalar WordPress, nos pregunta por un prefijo para las tablas de la base de datos, que por defecto es “wp_”. Lo ideal es cambiarlo por cualquier otra palabra (ejemplo, rockwp_), para que así no sea tan fácil y evidente entrar a la información guardada en la base de datos, que en WordPress, es todo el blog.

Cambiarlo una vez que el blog está funcionando es algo más complicado, por lo que volveremos a hablar de este tema.

11. Desactivar el registro de usuarios

Lo normal es que tengan acceso a nuestro blog únicamente los editores, por lo que es un fallo de seguridad aceptar que cualquiera se pueda registrar en nuestro blog. Cuantos menos usuarios que controlar, menos problemas.

Para evitar que se registre cualquiera en nuestro blog WordPress, en Ajustes > Generales está la opción de Cualquiera puede registrarse. La desactivamos.

Cómo desactivar el registro de usuarios

Cómo desactivar el registro de usuarios

12. Usar una conexión de ftp segura

Además de mantener seguro nuestro WordPress, es importante que accedamos a el de la mejor manera posible. Normalmente, cuando nos dan los datos de acceso al ftp de nuestro servidor, nos dan tanto la conexión ftp normal como otra segura (sftp o ssh).

Lo recomendable es usar la conexión segura, ya que envía los datos de conexión y los archivos codificados, siendo muy difícil que los intercepten. Si accedemos al servidor con una conexión ftp normal, tanto nuestro nombre de usuario como contraseña es enviado como texto plano. ¿Qué significa esto? Que si alguien “pincha” nuestra conexión wifi o entra a los logs de nuestro programa ftp, posiblemente pueda ver la contraseña sin ninguna complicación.

Hoy en día casi todos los servidores de Internet ofrecen conexión segura, así que usémosla.

13. Comprobar los permisos de los directorios y archivos

Nuestro servidor web posiblemente sea una máquina Linux, y en este sistema es muy importante tener cuidado con los permisos asignados tanto a los directorios como archivos. Para que funcione correctamente WordPress y no haya fallos de seguridad, lo ideal es que todos los directorios tengan el permiso 755 y los archivos el 644.

Desde cualquier programa ftp (ej, filezilla) podemos comprobar los permisos del servidor fácilmente

Ejemplo de permisos ideales en WordPress

Ejemplo de permisos ideales en WordPress

14. Borrar todo lo que no usemos (plugins, themes y demás)

Este es un consejo de prevención. Cuantas menos cosas tenga nuestro WordPress, más difícil es que tenga algún fallo de seguridad desde el que atacarlo, posiblemente de un plugin que lleva mucho tiempo sin actualizar, o un theme con demasiadas funciones.

Mi consejo, borrar todos los plugins y themes que no usemos, hasta dejar tan sólo el theme que usemos y twenty twelve (siempre está bien tener el theme por defecto), y los plugins que nos hagan la vida más fácil. Todo lo demás, a la basura.

15. Usar el sentido común

Para terminar esta extensa lista, nada mejor que usar el sentido común, que según dicen es el menos común de todos. Si algo nos da mala espina, es mejor pecar de precavido y no registrarse en ese lugar que nos enviará miles de visitas a nuestro blog, cargar ese plugin maravilloso para salir 1º en Google, o instalar ese theme súper optimizado para SEO.

Calvin y Hobbes, el sentido común

Calvin y Hobbes, el sentido común

Cuando algo suena demasiado bien para ser real, más vale preguntar a alguien que sepa (por ejemplo RockWordpress), o buscar en Internet, antes de lanzarse a la piscina y estropear el blog por no haber tenido un poco de cuidado.

Si a pesar de todos estos consejos algún día tienes un ataque a tu blog WordPress, o simplemente quieres que revisemos la seguridad de tu web, puedes contactar con Rock WordPress. Seguro que te podemos ayudar.

10 pensamientos en “15 recomendaciones de seguridad para WordPress

Deja un comentario