Consejos para mejorar la seguridad de Wordpress - [Imprescindible]
En este artículo hablaremos sobre la seguridad en Wordpress. Nombraremos algunos plugins de seguridad para Wordpress y conocerás buenos consejos para mejorar la seguridad de Wordpress. Además de herramientas para analizar tu web en busca de virus o malware, por supuesto de forma gratuita.
No lo olvidemos, Wordpress es un sistema gestor de contenidos seguro. Siempre y cuando esté actualizado y sigamos los consejos de seguridad que a continuación nombro.
El 29 % de internet usa Wordpress, eso tiene una gran parte positiva y otra negativa, la parte positiva no es otra que la gran comunidad que hay detrás. La negativa, es que al ser el más usado siempre habrán hacker que intenten crackearlo más que a otros.
Igualmente si se descubriera cualquier agujero de seguridad en Wordpress, rápidamente se subsanaría.
Seguro que si te dedicas al desarrollo web te has encontrado tu web crackeada o simplemente has tenido problemas de seguridad con alguna web. Sobre todo anteriormente a Wordpress cuando las webs eran más rudimentarias. No olvidemos que en internet estamos muy expuestos y debemos protegernos de cualquier ataque. Aunque sea solo una web personal que tenga un blog y poco más. En internet hay bots automatizados que tienen como fin encontrar vulnerabilidades y explotarlas ¿y para qué?, lo vemos también a continuación.
¿Por que debo proteger Wordpress contra hackers?
¿Qué provecho saca un hacker crackeando una web? ¿Alguna vez te has parado a pensarlo? Pues bien, la verdad que en algunos casos sacan poco provecho, sobre todo en el caso de webs particulares, de bloguers y semejantes. Webs con poco tráfico. Un hackers al crackear una web intenta sacar sobre todo información que luego pueda vender, en la mayoría de casos es información poco valiosa y no pueden venderla. Por eso en la mayoría de casos dejan publicidad con la que ganan dinero. O simplemente su marca, para autopromocionarse. Es bien sabido que los buenos hackers siempre tienen trabajo, muy bien remunerado además, en empresas importantes de ciberseguridad.
A parte de lo mencionado, tenemos que tener en cuenta que la seguridad nunca está de más. Es más se tiene muy en cuenta, incluso Google lo toma como factor para mejorar el posicionamiento web. Es una de las cosas que no valoramos hasta que la perdemos, cuando llega ese día en el que nos hackean, lo perdemos todo. No debemos olvidar que la información es poder.
Elementos que hay que intervienen en la seguridad de nuestra web hecha en Wordpress
- Wordpress (núcleo)
- Plugins
- Plantilla o tema
- Hosting
- Ingenieria social
- Usuarios (contraseñas)
Consejos de seguridad para Wordpress
Estoy seguro de que conseguirás, con estos útiles consejos, aumentar la seguridad en tu Wordpress notablemente, algunos son imprescindibles y se pueden aplicar a otras webs que no estén hechas con Wordpress. Allá vamos:
- Tener siempre actualizado por supuesto el núcleo de Wordpress.
- Instalar temas y plugins de confianza.
- Actualizar siempre que se pueda el tema, si éste se modifica, hacerlo con el tema hijo.
- Actualizar plugins.
- Llevar un organización exahustiva de las copias de seguridad, deben de ser incrementales todos los días y al menos totales una vez por semana.
- Por norma las contraseñas usadas por los usuarios (sobre todo administradores) deben tener un 100 % de http://www.passwordmeter.com
- No tener más de un usuario administrador y a ser posible éste no debe llamarse admin ni administrador.
- Cambiar prefijo de las tablas de la base de datos
- Tener alguno de estos plugins instalados y bien configurados.
- WordFence.
- iThemes Security.
- Bulletproof.
- Cambiar los permisos del archivo wp-config a sólo lectura.
- Instalar un certificado de seguridad SSL.
- Bloquear mediante el fichero .htaccess las ips que estén en una lista negra.
- Usar un servidor, VPS o hosting que proteja contra ataques DDOS o cualquier otro ataque por fuerza bruta.
- No subir archivos mediante FTP de equipos que puedan tener algún virus o malware o que no sean de confianza.
- Cambiar la url de acceso al panel de gestión de Wordpress (/wp-admin).
- Usar una versión actual de PHP (esto casi siempre dependerá de nuestro hosting), además esto también mejora el rendimiento.
¿Cómo sabemos si nuestro WordPress ha sido infectado?
A veces es fácil saber si nuestra web está infectada, simplemente puede ocurrirnos cualquiera de los siguientes casos:
- Puede no funcionar correctamente.
- Aparecer algún error que comunmente no aparecía.
- Publicidad ajena.
- Redireccionamientos incoherentes.
- Usuarios nuevos.
- Mucho Spam.
- En general cualquier anomalía visible.
¿Cómo desinfectar Wordpress?
Siguiendo estos consejos seguramente podamos desinfectar Wordpress, al menos comprobar la integridad de nuestra web. Wordpress es seguro, aunque tiene partes más vulnerables que otras. Hablo sobre todo de temas y plugins. Y dentro del tema o plantilla, más concretamente el archivo functions.php. Sin duda objetivo de todo hacker. Si te han infectado sigue los siguientes pasos y seguramente volverás a tener tu web libre de malware.
Una de las primeras cosas que podemos hacer es contactar con nuestro hosting. Pero seguramente nos remitan a los siguientes pasos:
- Actualiza Wordpress
- Actualiza el tema
- Actualiza los plugins
Si esto no lo soluciona seguimos con estos:
- Cambiamos el tema a uno de los temas de Wordpress (TwentyEleven, TwentyTwelve, etc) Deben estar actualizados por supuesto.
- Desactivamos todos los plugins.
- Volvemos a reinstalar la última actualización de Wordpress. Incluso si ya tenemos la última versión y sin importar si ha sido actualizado recientemente.
Tras estos pasos comprobamos nuestra web con todos los análisis online que podamos, lo veremos a continuación.
Aunque a veces puede que estemos infectados y no nos haya ocurrido nada de lo anteriormente mencionado. Si quieres saber con certeza si tu web está infectada puedes hacer un análisis de nuestra web usando las siguientes herramientas gratuitas, estaría bien hacer de forma periódica.
Herramientas para analizar nuestra web en busca de virus o malware
- https://sitecheck.sucuri.net
- https://www.virustotal.com/es
- https://transparencyreport.google.com/safe-browsing/search
- https://www.siteadvisor.com/sites/www.miguelgomezsa.com
- https://safeweb.norton.com/report/show?url=miguelgomezsa.com
Herramienta de Google
La tecnología de Navegación Segura de Google examina miles de millones de URL todos los días en busca de sitios web no seguros. A diario, se descubren miles de sitios inseguros nuevos. Muchos de ellos son webs que han sido pirateadas. Cuando detectamos sitios web inseguros se muestra una advertencia en el resultado de Búsqueda de Google y en algunos navegadores web.
Puedes comprobar si tu sitio o cualquier otro es peligroso a través de esta herramienta:
Si después de leer este artículo sigues teniendo problemas de seguridad en tu Wordpress o te surge alguno en el futuro, estaré encantado de poder ayudarte. Contacta conmigo, o déjame un comentario con tus dudas.