Cómo progresar la seguridad en WordPress
9min de lectura
Introducción
WordPress es uno de los sistemas de administración de contenido (Content Management System) más populares del planeta. En él se ejecutan el ciento ochenta y nueve por cien de todos los sitios de Internet y se ha instalado más de setenta y seis con cinco millones de veces. Desafortunadamente, la popularidad también tiene sus desventajas. Según unde hackeo de Securi, una compañía especializada en seguridad de sitios web, WP es el Content Management System más hackeado del planeta. ¡Pero no hay que entrar en pánico! Es bastante fácil mejorar la seguridad Wordpress si aplicas las mejores prácticas e implementas algunos trucos proporcionados en este tutorial de WordPress.
Lo que necesitarás
Antes de iniciar con esta guía, necesitarás lo siguiente:
- Acceso al área de administrador de WordPress
- Acceso a tu cuenta de hosting (opcional)
Paso 1 – Sostener tu Wordpress actualizado
Este el primer y más importante consejo. Si quieres tener un sitio web limpio y libre de malware, es imprescindible mantener WP actualizado. Si bien puede parecer un consejo elemental, solo el veintidos por cien de todas las instalaciones de Wordpress ejecutan la última versión.
WordPress implementó la característica de actualización automática en la versión 3.7, no obstante, solo funciona para actualizaciones de seguridad menores. En consecuencia, las actualizaciones primordiales deben hacerse manualmente.
Paso dos – Emplear credenciales de comienzo de sesión poco comunes
¿Estás usando
admincomo tu nombre de usuario de administrador de Wordpress? Si tu respuesta es afirmativa, estás facilitando las cosas a fin de que los hackers intenten irrumpir en tu escritorio. Se recomienda bastante mudar el nombre de usuario de admin a otra cosa o crea una nueva cuenta de administrador con un nombre de usuario diferente y suprime la precedente. Prosigue estos pasos si prefieres la segunda manera:
- Accede al escritorio de WordPress
- Navega a la sección de
Usuariosy presiona
Añadir nuevo. - Crea un nuevo usuario y asígnale la función de administrador.
- Vuelve a empezar sesión en Wordpress con tu nuevo nombre de usuario.
- Dirígete otra vez a la sección Usuarios y elimina el usuario “admin”.
Una buena contraseña juega un papel importante en lo que respecta a la seguridad WP. salir primero en google pagando mucho más difícil efectuar un ataque de fuerza bárbara a una contraseña que contiene números, letras mayúsculas y minúsculas y caracteres singulares. Herramientas comoypueden asistirte a crear y regentar contraseñas complejas. Además, si alguna vez precisas empezar sesión en el panel de control de WordPress mientras estás conectado a una red no segura (por ejemplo, en cafeterías, bibliotecas públicas, etc.), no olvides emplear unaque proteja tu información de registro.
Paso 3 – Habilitar la autenticación de dos pasos
La verificación en dos pasos le añade un nivel auxiliar de seguridad a tu página de inicio de sesión. Como su nombre lo sugiere, agrega otro paso que debes completar para empezar sesión. Lo más probable es que lo estés usando para acceder al correo electrónico, al banco en línea o a cualquier otra cuenta que contenga información confidencial. ¿Por qué no utilizarlo en WP?
Aunque puede parecer complicado, es muy fácil habilitar la verificación de dos pasos en el blog de Wordpress. Todo lo que necesitas es instalar la aplicación de autenticación de dos factores y configurar tu WordPress.
Paso cuatro – Deshabilitar los informes de errores de PHP
Los informes de fallos de PHP pueden ser útiles si estás desarrollando tu sitio y deseas cerciorarte de que todo funcione adecuadamente. No obstante, mostrarle los errores a todo el mundo es una grave falla de seguridad en Wordpress.
Debes arreglar esto cuanto antes. No tengas temor, no debes ser un programador para deshabilitar los informes de fallos de PHP para WP. Muchos distribuidores de alojamiento tienen la opción de desactivar los informes de fallos en el panel de control. Si no hay ninguno, simplemente añade las siguientes líneas a tu fichero wp-config.php. Puedes emplear elo el Administrador de archivos para editar el archivo
wp-config.php.
Eso es todo. El informe de errores ahora está desactivado.
Paso cinco – No utilizar los temas cancelados de WordPress
Recuerda: «El único queso gratis está en la ratonera». Podemos decir lo mismo sobre los temas y complementos cancelados de WP.
Hay miles y miles de complementos y temas anulados rondando en Internet. Los usuarios pueden descargarlos de múltiples sitios Warez o torrents de forma gratuita. Lo que no saben es que la mayoría de ellos están infectados con malware o bien con links de posicionamiento web black hat.
Deja de emplear plugins y temas anulados. No solo no es ético sino más bien extremadamente dañino para la seguridad de WP. Terminarás pagando más por un desarrollador a fin de que limpie tu sitio web.
Paso 6 – Escanear Wordpress para advertir malware
Los piratas informáticos con frecuencia utilizan “vacíos” o loopholes en temas o plugins para infectar Wordpress con malware. En consecuencia, es vital escanear tu blog frecuentemente. adwords huelva para este propósito perose resalta entre la multitud. Ofrece opciones de escaneo manuales y automáticas así como numerosas configuraciones diferentes. Incluso puede restaurar ficheros modificados/infectados con solo dos clicks. Es gratis y de código abierto. Estos factores deberían ser suficientes para que instales este plugin ahora mismo.
Otros plugins de seguridad populares de WordPress:
- : a diferencia de WordFence, que hemos descrito previamente, BulletProof no escaneará tus ficheros, pero te proporcionará un firewall, seguridad de base de datos y más. Una de las mejores cosas es que se puede configurar e instalar con solo unos pocos clicks.
- : este complemento te protegerá de los ataques DOS, mantendrá una lista negra, escaneará tu sitio en busca de malware y administrará tu firewall. Si detecta algo, te lo notificará por correo electrónico. Google, Norton, McAfee: todos estos motores de listas negras se incluyen en este plugin.
No dudes en probarlos todos. Puedes hallar una guía completa sobre cómo instalar complementos de WordPress.
Paso 7 – Migrar el sitio web de Wordpress a un hosting más seguro
Puede sonar como un consejo extraño, pero las estadísticas muestran que más del 40 por cien de los sitios de WP fueron hackeados debido a vacíos de seguridad en las cuentas de alojamiento. Este número por sí mismo debería obligarte a reconsiderar tu elección de alojamiento web actual ya un alojamiento web más seguro. Ciertos factores clave a tener en cuenta al buscar un nuevo hosting:
- Si se trata de hosting compartido, asegúrate de que tu cuenta esté apartada de otros usuarios y no haya riesgo de que un sitio infecte a todos los demás en el servidor.
- Tiene la función de copias de seguridad automáticas.
- Debe tener una herramienta de escaneo de virus y de firewall por parte del servidor.
Paso 8 – Hacer copias de seguridad con la mayor frecuencia posible
Incluso los sitios web más grandes son hackeados todos los días pese al hecho de que sus propietarios gastan miles para fortalecer la seguridad de Wordpress.
Aún si estás siguiendo las mejores prácticas y cumples con otros consejos de este artículo, sigue siendo crucial hacer una copia de seguridad de tu sitio de WordPress regularmente.
planes de diseño web bastantes formas de crear copias de seguridad. Por ejemplo, puedes descargar manualmente archivos de WordPress y exportar la base de datos o bien emplear la herramienta de copias de seguridad de tu distribuidor de alojamiento. Otra forma es utilizar plugins de WordPress. Los complementos de copia de respaldo de WordPress más populares son:
Incluso puedes automatizar el proceso de copias de seguridad y almacenar copias de seguridad de Wordpress en Dropbox.
Paso nueve – Desactivar la edición de archivos
Como sabrás, Wordpress tiene un editor de ficheros incorporado que deja editar ficheros PHP. Si bien esta característica es muy útil, también puede hacer mucho daño. Si el atacante obtiene acceso a tu panel de administrador, la primera cosa que buscará es el Editor de archivos. Algunos usuarios de WordPress prefieren deshabilitar absolutamente esta función. Se puede desactivar editando el fichero
wp-config.phpe incluyendo la próxima línea de código:
Eso es todo cuanto tienes que hacer para deshabilitar la edición de archivos en Wordpress.
IMPORTANTE: En caso de que quieras volver a habilitar esta función, use el usuario FTP o el Administrador de archivos de tu distribuidor de alojamiento web y elimina este código del archivo wp-config.php.
Paso 10 – Eliminar temas y plugins no utilizados
Haz una limpieza de tu sitio de WP y elimina todos los plugins y temas no empleados. Los piratas informáticos suelen buscar temas y complementos deshabilitados y desactualizados (aun los plugins oficiales de WordPress) y usarlos para obtener acceso a tu escritorio o cargar archivos maliciosos en tu servidor. Al eliminar complementos y temas que dejaste de usar (y seguramente olvidaste actualizar) hace mucho tiempo, reduces el peligro y haces que el sitio de Wordpress sea un poco más seguro.
Paso once – Emplear .htaccess para mayor seguridad
Se requiere un archivo .htaccess a fin de que los enlaces de WP funcionen correctamente. Sin las reglas correctas en el archivo .htaccess, obtendrías muchos fallos cuatrocientos cuatro.
No muchos usuarios saben que .htaccess se puede usar para prosperar la seguridad de WordPress. Por poner un ejemplo, con .htaccess puedes bloquear el acceso o bien deshabilitar la ejecución de PHP en carpetas específicas. Los ejemplos a continuación muestran cómo se puede usar .htaccess para reforzar la seguridad de WP.
IMPORTANTE Ya antes de realizar cualquier cambio, se aconseja efectuar una backup del fichero .htaccess precedente. Puedes utilizar elo el
Administrador de archivospara esto.
El siguiente código permitirá el acceso al área de administrador de WordPress solo desde direcciones IP específicas.
Ten en cuenta que debes cambiar
XX.XX.XX.XXXpor tu dirección IP. Puedes usarpara contrastar tu IP actual. Si usas más de una conexión para regentar tu sitio de WP, asegúrate de incluir también todas las demás direcciones IP (no vaciles en añadir todas las líneas de permiso que precises). No se recomienda emplear este código si tienes una dirección IP dinámica.
Deshabilitar la ejecución de PHP en carpetitas específicas
A los atacantes les gusta cargar scripts de puerta trasera a la carpetita de carga de WordPress. De manera predeterminada, esta carpetita se usa para cargar solo ficheros multimedia. Por ende, no debería contener ningún fichero PHP. Puedes desactivar fácilmente la ejecución de PHP creando un nuevo archivo .htaccess en
/wp-content/uploads/con estas reglas:
Proteger el fichero wp-config.php
El fichero wp-config.php contiene la configuración del núcleo de WordPress y los detalles de la base de datos MySQL. Por consiguiente, es el archivo de WordPress más importante. Es por eso que es el principal objetivo de los piratas informáticos de WordPress. Sin embargo, puedes proteger fácilmente este fichero utilizando las reglas .htaccess:
Paso doce – Cambiar el prefijo predeterminado de la base de datos de Wordpress para evitar inyecciones de SQL
La base de datos de WordPress guarda y almacena toda la información vital requerida a fin de que tu lugar funcione. Como resultado, se transforma en un propósito atractivo para hackers y spammers que ejecutan código automatizado para realizar inyecciones de SQL. Al instalar WP, la mayoría de las personas ni tan siquiera se molestan en mudar el prefijo de base de datos predeterminado
wp_. Según“1 de cada cinco casos de hackeo de WordPress ocurren debido a las inyecciones de SQL”. Como
**wp**es la configuración predeterminada, los hackers intentarán agredir ese valor primero. En este paso, ofreceremos una breve descripción de cómo puedes proteger tu sitio de WP contra dichos ataques.
Cambiar el prefijo de tabla para un sitio de WP existente
¡IMPORTANTE! La seguridad es lo primero. Asegúrate de
hacer una backup de tu base de datos MySQL de WordPressantes de continuar.
Parte 1 – Mudar el prefijo en wp-config.php
Usando elo el Administrador de archivos, halla tu
wp-config.phpy busca el valor
dólares americanos table_prefix.
Puede agregar números, letras o bien guiones bajos. Después de eso, guarda los cambios y continúa con el próximo paso. En este tutorial, usaremos
wp_1secure1_como el nuevo prefijo de tabla.
Mientras estés en tu fichero
wp-config.php, busca también el nombre de tu base de datos, para que sepas qué base de datos precisas editar. Busca la sección
define('DB_NAME'
Parte dos – Actualizar todas las tablas de la base de datos
Ahora, necesitarás actualizar todas las entradas en tu base de datos de WordPress. Esto se puede hacer a través de phpMyAdmin.
Encuentra la base de datos que identificaste en la parte 1 y acceda a ella.
Una instalación predeterminada de WP tiene doce tablas y cada una debe ser actualizada. Sin embargo, se puede hacer más rápido utilizando la sección
SQLde phpMyadmin.
Cambiar cada tabla manualmente tomaría una cantidad de tiempo excesiva, por lo tanto, utilizaremos consultas SQL para apresurar las cosas. Emplea la siguiente sintaxis para actualizar todas las tablas en tu base de datos.
Algunos temas o bien complementos de Wordpress pueden crear tablas auxiliares en la base de datos. En el caso de que tengas más de 12 tablas en tu base de datos MySQL, agrega el resto de ellas manualmente a la lista de consultas SQL y ejecútalas.
Parte 3 – Verificar las tablas options y usermeta
Dependiendo de la cantidad de complementos que tengas instalados, algunos valores en tu base de datos deberán actualizarse manualmente. Eso se puede hacer ejecutando consultas SQL separadas en las tablas
optionsy
usermeta.
Para la tabla de
options, deberías usar:
Para la tabla
usermetadeberías usar:
Cuando obtengas los resultados de la consulta SQL, sencillamente actualiza todos y cada uno de los valores de
wp_con tu prefijo recién configurado y listo. En la tabla
usermetanecesitarás editar el campo
meta_key, mientras que en
options, el valor de
option_namedeberá ser cambiado.
Asegurar nuevas instalaciones de WordPress
Si planeas instalar nuevos sitios de WordPress, no será preciso realizar este proceso de nuevo. Simplemente podrás mudar tu prefijo de tabla de WP a lo largo de la instalación:
¡Felicitaciones! Has mejorado de manera exitosa la protección de la base de datos de WordPress contra las inyecciones de SQL.
Conclusión
Aunque WordPress es el Content Management System más hackeado del mundo, no es difícil prosperar su seguridad. En este tutorial damos 10 consejos que deberías seguir para progresar la seguridad en Wordpress.
