Tips de seguridad para WordPress

Seguridad WordPress

Protege tu WordPress y ahórrate sustos

Este post va dedicado a la gente que se esfuerza semana a semana en sacar sus blogs a adelante. Todos los que como yo están inmersos en el mundo del blogging saben lo duro que es perderlo todo por un fallo de seguridad.

Lanzarse al mundo del blogging no es algo que haya que tomarse a la ligera. Es un trabajo continuo y laborioso. Puedo asegurar que es algo duro, pero muy gratificante cuando sabes que ayudas a otras personas. No en vano cada vez hay más gente que puede vivir de ello.

No hay que pensar que esto es escribir y ya está. El contenido lo es todo, por supuesto, y elaborar algo de calidad y que aporte valor nos puede dar muchos quebraderos de cabeza. Pero más quebraderos de cabeza nos puede ocasionar un ataque a nuestro blog.

Puesto que la plataforma que yo utilizo es WordPress, voy a daros una serie de tips de seguridad fáciles de implementar por cualquiera para fortalecer vuestro blog al máximo. No hace falta ser un desarrollador experto para estar seguros.

Para empezar, debemos reconocer de dónde pueden provenir los ataques a la seguridad de nuestro blog en WordPress:

Bots: son ataques masivos por robots que tratan de buscar por donde es vulnerable tu blog. Rara es la web que ya no implementa sistemas como los CAPTCHA.

Crackers: en este caso se trata de humanos, no de robots, que tienen la formación necesaria para conseguir acceder a tu blog.

Otras fuentes: por ejemplo, el diseñador original de la web disgustado porque la empresa lo ha despedido y ha contratado a otra persona en su lugar, por lo que trata de vengarse.

Una vez conocemos las fuentes hay que conocer el tipo de ataques que se puedan producir a nuestro WordPress:

Fuerza bruta: lanzan miles de contraseñas contra nuestra página de acceso a WordPress para intentar adivinarla.

Psicología social: hacen llegar al administrador del blog correos en lo que intentan embaucarlo para que éste les facilite el usuario y la contraseña.

Vulnerabilidades del sistema: WordPress está basado, entre otras cosas, en PHP y MySQL. Estas tecnologías tienen actualizaciones periódicamente, por lo que si no se tienen al día, pueden originar agujeros de seguridad en nuestro WordPress.

Bloqueos del servidor: se llaman ataques DDoS o de denegación del servicio. Consiste en que se realizan multitud de peticiones al servidor para colapsarlo.

Spam: está muy relacionado con la técnica de los enlaces ocultos y antinaturales del Black Hat SEO. Hay personas que inundan áreas donde pueden escribir, como son los comentarios, de enlaces a sus sitios web. Y luego es nuestro blog el que se ve comprometido.

Ahora os voy a contar los tips que conviene tener muy en cuenta para tener la mejor seguridad para nuestro blog en WordPress:

Tip #1: El administrador es la primera vulnerabilidad

La clave está en las contraseñas. Parece una perogrullada pero una contraseña bien preparada puede ser una barrera de entrada suficiente para los ataques contra la seguridad de nuestro WordPress.

Para ello, la contraseña tiene que ser fuerte, es decir, conteniendo letras mayúsculas y minúsculas, números y símbolos. Pondré un ejemplo de lo que no se debe hacer:

Tengo un Peugeot 307, por lo que creo que puede ser una buena contraseña Peugeot307!?. Hay que reconocer que cumple los requisitos de fortaleza pero, puede ser fácilmente adivinable.

Es por ello que es imprescindible que sean aleatorias. Para eso hay magníficos generadores de contraseñas, tanto online como nativas de los propios sistemas operativos. Un ejemplo contraseña buena y aleatoria puede ser: aRG6-¿q4F;!8np.

Ni que decir tiene que hemos de usar una contraseña diferente para cada sitio en los que nos logeemos. Todas las webs no son siempre cuidadosos con sus datos y se pueden realizar filtraciones que nos hagan regalar nuestras contraseñas.

Obvio es también que no habrá que darle las contraseñas a nadie bajo ningún concepto. Si alguien tiene que acceder a nuestra web en WordPress, se le crea un usuario nuevo con los permisos que necesite.

Para recordar las contraseñas hay multitud de aplicaciones, tanto gratis como de pago. Yo utilizo Dashlane que es multiplataforma y gratuita. Coge tus contraseñas, las cifra y te permite gestionarlas con una contraseña maestra.

Y por último, no escribamos las contraseñas en un post-it o similares y las dejemos a la vista de todos. A ver si nos vamos a pensar que todos los ataques van a venir de Internet. Que hay mucho pirata suelto por ahí.

Tip #2: Tener el equipo desde el que trabajemos aseado

Imaginaos que volcamos todos nuestros esfuerzos en una buena seguridad online y, por culpa de un programa que nos hemos descargado, alguien es capaz de acceder a nuestro ordenador y averiguar todas nuestras contraseñas.

Para ello pueden servirse de keylogers, troyanos, etc. vamos, malwares varios. No necesitamos más que un antivirus decente. Aquí, como en todo los hay gratuitos y de pago. Yo he utilizado Avast toda la vida y no he tenido problemas.

Si en tu caso eres usuario de Mac o Linux, no pienses que estás a salvo. Simplemente son sistemas operativos más difíciles de infectar porque hay menos usuarios.

Como usuario de Apple, puedo dar fe que si hacemos lo que no debemos nuestro equipo se puede infectar. Y casi me vuelvo loco para limpiar mi ordenador porque, igual que hay pocas vulnerabilidades de seguridad, también hay poco recursos para arreglarlas.

Es por ello que es muy importante saber qué se descarga. Hay que tener claro quién es el desarrollador del programa o app, si tiene muchas y buenas reseñas, no abrir archivos adjuntos de remitentes de correos desconocidos, etc.

También hay que tener especial cuidado con las redes WIFI, ya que también pueden comprometer la seguridad de nuestro WordPress. No hay que gestionarlo desde redes públicas o desde redes compartidas o robadas.

Tip #3: Hosting seguro

Para el que no lo sepa, existen hostings gratuitos. Es crítico no utilizarlos para proyectos serios. Conviene gastarse algunos euros en asegurar que el sitio dónde alojemos nuestra web sea fiable.

Hay hostings que se limitan a ofrecerte un alojamiento para tu web por un bajo precio, pero descuidan su seguridad. Si se trata de un proyecto amateur entiendo que quieras ahorrarte dinero.

Ahora bien, para proyectos profesionales, como podría ser una tienda online, por favor, busca el hosting más profesional posible. En estos casos hay que gastarse el dinero, ya que te van a garantizar una seguridad tal, que seguramente tengas que hacer muy poco para proteger WordPress. Ya se encargan ellos.

Tip: #4 Seguridad en el propio WordPress

Por último, pero no menos importante, toca comentar las acciones que hay que llevar a cabo en nuestro propio WordPress y los plugins recomendables a instalar para que sea más seguro.

Para empezar, si tenemos un login, hay que obligar a que los usuarios que se logeen en nuestra web usen contraseñas fuertes, aunque la versión Worpress 4.3 ya lo incluye como obligación. Además, hay que limitar le número de intentos de acceso a la sesión, para evitar los ataques por fuerza bruta.

Igual de importante es controlar el SPAM y los bots. Para, uno de los mejores, sino el mejor plugin para controlar el SPAM en comentarios es Akismet. Éste es un plugin nativo de Worpress muy fácil de configurar y tremendamente útil.

Conviene también realizar análisis periódicos del malware que puede estar tratando acceder a nuestro sitio y controlar todas las debilidades que pueden tener los distintos plugins que tengamos instalados.

Para controlar estas vulnerabilidades hay un combo de acciones que es crítico para garantizar la seguridad de nuestro sitio web. Hay que tener la versión de Worpress actualizada (dando los 3-4 días de rigor para ver si tiene fallos), hay que tener actualizados los plugins, estén activos o no, y realizar copias de seguridad periódicamente.

Para esto último yo utilizo indistintamente dos plugins, que son WordPress Backup to DropboxUpdraftPlus. Estos permiten hacer copias de seguridad tanto en local como en un proveedor de alojamiento en la nube.

A parte esto, existen muchos plugins que aglutinan muchos servicios de seguridad para Worpress en uno. El que yo utilizo y que más fácil de hacer una configuración básica es Wordfence Security. Permite controlar ataques y hace reportes de todo lo que va mal.

Como podéis ver, lanzarse al mundo del blogging no es tarea fácil. Si de verdad decidimos dar el paso, a parte de la generación del contenido, hay que tener muy en cuenta la seguridad, ya que cualquier vulnerabilidad que se pueda encontrar puede dar al traste con años de arduo trabajo.

 

Comparte este postTweet about this on TwitterShare on Google+Share on FacebookShare on LinkedInEmail this to someone

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *