Seguridad de WordPress: Guía completa para principiantes


Éste es un post de invitado de Javier Gobea. Javier ayuda a negocios unipersonales diseñando y manteniendo sitios web basados en WordPress y optimizados que sean seguros, rápidos y flexibles. Lo puedes encontrar en su blog Hormigas en la Nube.

Tu día a día como blogger es una lucha constante contra elementos que quieren entrar en tu web y usarla para fines… muy distintos al que habías pensado.

Reconocerlo y saberlo es el primer paso para mejorar la seguridad de WordPress.

cabecera seguridad en wordpress

Imagen de Shutterstock - © Dacian G.

¿Quieres saber a qué me refiero?

  • Bots (programas automáticos) que buscan vulnerabilidades en tu web.
  • Crackers, personas con algunos conocimientos de los sistemas, buscando entrar tambien.
  • Ese compañero de trabajo al que le duele tu éxito, y ha averiguado en Google como usar WPScan o Exploits.
  • El diseñador poco profesional que te hizo la web, y esta resentido porque has contratado a otro mejor.

Casos hay cientos, más de los que te he puesto aquí de ejemplo, y cada uno de estos, los he vivido, combatido o recuperado.

El último caso es real. No pienses que no ocurre.

Me avisó una web en la que había trabajado haciendo unos cambios, de que había desaparecido por completo.

Revisando los logs del servidor, vimos que la orden de borrado de todos los ficheros se había hecho por FTP, y desde la IP del diseñador original de la web. ¿Cómo se sabe que era su IP? Porque coincide con su localidad, y porque es la misma IP que figuraba en los logs de cuando se creo la web. Asi que sí, estas cosas pasan.

Y no te creas que por estar empezando, no recibes ataques. Te sorprenderías con la rapidez con la que tu blog comienza a recibir estas visitas no deseadas. Y de hecho, cómo verás ,los blogs novatos son los más vulnerables.

El único que no te he puesto es el del hacker profesional.

Hasta yo pienso que como uno se empeñe a entrar en mi web, lo consigue.

Pero precisamente estos no vienen a hacer daño. Es solo la superación del reto. Y en este caso, tambien pienso que no soy lo suficientemente importante o conocido para ser un reto, estando por ahi disponible la web de la Casa Blanca.

Y que ataques puedes recibir o para qué:

  • Ataques de fuerza bruta o de diccionario para averiguar tu contraseña (hay diccionarios con más de 100000 posibles contraseñas, y que efectivamente son usadas por el 73% de las personas).
  • Ataques de Psicología Social (el típico email de hemos detectado un problema con su cuenta, envíe usuario y contraseña, o la llamada averiguando detalles nuestros), o incluso el Basureo (no, lo siento, tienes que leer más para saber que es esta técnica).
  • Aprovechamiento de vulnerabilidades XSS, MySQL exploits, o fallos en código php. Muy técnico. Un rollo. Pero quédate con la idea que la tecnología que usamos puede tener fallos, y hay que aplicarle parches para cerrar esos agujeros de seguridad.
  • Ataques DDoS, o de denegación de servicio. Esto es que recibes tantas peticiones, que te echan el servidor abajo.
  • Spam SEO: Llenan tus artículos de enlaces ocultos, para posicionar webs fraudulentas, y a ti te tocará estar en listas negras.

Pero no te preocupes.

Respira.

Que para eso estoy aquí, para dejarte esta mega-guía con pilares que tienes que reforzar la seguridad en tu web y convertirla en el Fort Knox de los WordPress.

Los 5 pilares fundamentales para mejorar la seguridad de WordPress

Cuando hayas reforzado estas cinco bases de tu proyecto, dormirás más tranquilo.

Tambien descubrirás, que en contra de lo que pensabas, si estas siendo atacado ahora mismo. Pero por lo menos ya sabes que le pusiste solución y estas protegido.

No hay ninguna parte más importante que otra. Simplemente hay que reforzar las 5 o el sistema tendrá un punto de fallo.

Y una vez hecho, solo es cuestión de aplicar lógica y tener en cuenta dos o tres medidas básicas.

¿Vamos a ello?

Pilar #1. El eslabón más débil de la cadena somos nosotros

Pues sí, voy a empezar por el más básico, pero de algún modo el que más falla. El eslabón más débil de la cadena de seguridad somos nosotros, y el principal punto de entrada de ataques. Así que sigue estos consejos al pie de la letra, y conviértete en el eslabón más fuerte.

seguridad de wordpress eslabones

Las personas somos el eslabón débil de la cadena de seguridad.

Usa contraseñas fuertes.

El fallo número uno. Hay que usar contraseñas fuertes.

Y fuerte no significa solo larga, y con números y mayusculas y minúsculas. Fuerte significa además aleatoria.

No sirve de nada que Luis Perez, que tiene un perro que se llama Nostradamus (Nostri es como lo llaman en la familia), ponga de contraseña Nostradamus10062013.

Si. Es segura. Y si, un ataque de fuerza bruta lo tendrá complicado. Pero alguien que lo conozca puede tener sencillo descifrarla.

Una contraseña segura es esta: 2nFBxtjGH?TR1a

Al final te cuento el secreto para recordarlas.

Usa contraseñas diferentes.

Por que claro, de nada te vale usar una contraseña fuerte, si luego te registras en todos los sitios con la misma.

Pues sabrás que no todos los sitios guardan la contraseña de una forma cifrada.

Y por tanto ese foro de cocina que tanto te gusta, o esa web donde te registraste mientras buscabas coche, puede que este viendo tu email y contraseña. Y por tanto, tener acceso a tu Facebook, correo,…

O que se produzca un ataque de esos que roban miles de contraseñas, de algún servicio web, y se vean comprometidos todos tus servicios.

Así que ya sabes, fuerte, aleatoria, y además diferente para cada cuenta y web.

¿Ves como vas a necesitar algo para recordarlas?

No se las des a nadie. Nunca.

Repito. Nunca.

Si un desarrollador tiene que entrar a tu sitio web, para revisar un plugin, para hacerte cambios, etc… crea un usuario para el, que podrás desactivar después, eliminar, o cambiarle los permisos.

Así tendrás controlado quien entra en tu web, y cuando.

Y si no puedes crear un usuario, cambia la contraseña, y pon una temporal, y cuando finalice el trabajo, vuélvela a cambiar.

Multiplica el Nº de clics en tus contenidos

Con este eBook gratuito de plantillas de copywriting crearás titulos que dispararán los clics en tus contenidos:

  • 77 Plantillas de títulos probadas que multiplicarán los clics.
  • Sacaras infinitas ideas crear tus propios títulos.
  • Con las palabras "mágicas" redactarás textos irresistibles.
  • Vale para todo: blogs, tiendas online, redes sociales, etc.

Obtén tu eBook aquí

Apúntate a nuestra Zona VIP y descárgate tu eBook ya

Es 100% gratis 🙂

Recuerda de forma eficaz y segura tantas contraseñas

No vale apuntarlas en un post-it, o en tu agenda. O en un papel que luego arrugas y tiras a la papelera.

¿Recuerdas que te hablaba del basureo?

Pues es precisamente buscar en la mesa, o basura de alguien por este tipo de apuntes. Si; es una técnica de hackeo. ¿Increíble verdad?

Así que para que puedas recordar una contraseña fuerte, aleatoria y diferente para cada cuenta o sitio web, lo mejor es usar un gestor de contraseñas:

  • LastPass: con versiones para todos los sistemas operativos habituales, app para móviles y extensiones para navegador. Gratuita y con versión premium. Lo que no me gusta es que las contraseñas se almacenan cifradas en sus servidores.
  • 1Password: Multiplataforma tambien, pero solo en versión de pago. Es el que uso, porque funciona genial, y las contraseñas están almacenadas en mi propio Dropbox en un fichero cifrado.
  • Dashlane: Versión para Mac, Windows y apps para smartphones, y completamente gratis. Para mi recién descubierto, pero tiene buena pinta. De haberlo encontrado antes tal vez no hubiera comprado 1Password. Las contraseñas se almacenan tambien de manera local.

Con estos sistemas solo deberás recordar una contraseña. La de acceso a la base de datos de contraseñas. El resto estará cifrado y seguro. Tan seguro, que si olvidas esa contraseña… ¡las perderás para siempre! (y ahora no me vayas a apuntar ésta en el post-it pegado a tu monitor…)

La diferencia entre que se almacene de manera local o remota, es que si los servidores de la empresa se ven comprometidos, tus contraseñas estarán expuestas. Yo soy más de tener yo el control, pero seguro que ellos invierten más en seguridad que yo.

Pilar #2. Tu ordenador y sistemas siempre seguros

De nada sirve usar contraseñas fuertes y poner mil medidas de seguridad, si luego un simple keylogger (un programa que captura lo que escribimos en el teclado) captura tus datos de acceso.

Por lo tanto, es una parte imprescindible que le des vitaminas a tu ordenador, para protegerlo de virus, y malware.

captura antivirus kaspersky

No es difícil manejar uno de los antivirus más potentes que ahi.

Eso se hace con un buen antivirus, y mucho sentido lógico.

Para mi los mejores antivirus serian Karpesky, Avast y BitDefender. ¿Debes usar exclusivamente uno de estos? No, si el que tienes te va bien, no tienes porque cambiar. Pero si no usas ninguno, tienes donde elegir. Imprescindible si usas Windows.

Si eres usuario de Mac o Linux, no te confíes. No te creas la leyenda urbana de que no existen virus o malware para estos sistemas. No es cierta. Pero tampoco necesitas un antivirus. Sus sistemas de permisos, y que sean sistemas menos extendidos, los hace menos apetecibles a ataques. Si necesitas usar mucho tu sentido común.

Consejos aplicables a todos los sistemas (ordenadores o móviles):

  • No instales aplicaciones de procedencia sospechosa. Unos euros ahorrados por usar una app pirata te pueden costar caros. Ni instales apps gratuitas “extrañas” en tu equipo de trabajo”. No descargues de Softonic (curiosamente, la versión gratuita de avast te manda descargarla de softonic…).
  • Usa solo en general herramientas probadas y con buena reputación, que tengan reviews de bloggers independientes.
  • No abras adjuntos de correos electrónicos de desconocidos. Y de conocidos si no esperas nada, observalo con precaución.
  • Solo usa tus claves en webs que tu mismo hayas escrito la url.

Y unos consejos extras, relacionados con las comunicaciones:

  • Por ahorrarte de nuevo unos eurillos, no compartas la conexión a Internet con vecinos o desconocidos. Mucho menos, le “robes” la conexión a nadie.
  • No uses WiFis públicas de centros comerciales u hoteles.

El motivo de esto es que es muy sencillo para alguien, “sniffar” o extraer toda la información que circula por esa red, para después analizarla tranquilamente. Esta recomendación es sobre todo importante si el panel de admin de tu WordPress no usa https. Es un consejo básico para mejorar la seguridad.

Pilar #3. La seguridad de tu WordPress es el cimiento de tu negocio online

Tengo claro que no abrirías un bar en un edificio viejo, o mal construido, que piensas que se te puede venir abajo en cualquier momento.

O que los ladrones se pueden colar haciendo un simple agujero en la pared de lo debilucha que es.

¿Entonces porque usas para tu negocio online servidores de poca calidad?

Yo personalmente, al igual que Berto, recomiendo a todos mis clientes Webempresa. Por seguridad, por soporte, y por rendimiento.

Aquí te dejo una captura de pantalla de sus diferentes planes y precios (haz clic en ella si quieres irte a su web):

planes estandar webempresa

Los planes de Webempresa con el precio después de aplicar el descuento.

La seguridad de Webempresa es excepcional:

  • Medidas de seguridad pro-activas, para que aunque no actualices no te veas afectado.
  • Medidas de seguridad pasivas, como bloqueo por intentos fallidos repetidos de iniciar sesión.
  • Bloqueo a todos los países de habla no hispana al admin de tu web. ¡Ni te imaginas lo que te quita esto de encima!

Otro servidor que me funciona muy bien a nivel de seguridad para WordPress, y donde esta alojado ahora mismo mi blog, es WPEngine. Mucho más caro, pero sencillamente te olvidas de gestionar seguridad o rendimiento, ya que es un hosting gestionado para WordPress.

En este caso, de nuevo, querer ahorrar algo de dinero, te puede costar realmente caro luego.

Aquí no hay más ciencia. Si quieres seguridad en tu WordPress, invierte en un servidor de verdad.

Como ejemplo, decirte que uno de los más famosos, Hostgator, no se porque últimamente me he encontrado numerosos clientes que lo usaban, con el blog infectado por Spam SEO.

Sencillamente es mejor elegir algo que te un buen soporte, y mas que ser muy famoso, saber que gestiona muy bien sus recursos.

No hay mayor complicación para tener un buen pilar de seguridad en este sentido.

Ver planes y precios de Webempresa + obtener 25% dto.

Pilar #4. La seguridad de WordPress es algo que no hay que olvidar

No podemos estar hablando de la seguridad en WordPress, y no hablar de lo que hay que hacer, para que ésta sea inmejorable.

captura sucuri security

Resultado de un escáner hecho con Sucuri Security.

Básicamente se basa en reforzar varios aspectos:

  • Obligar a los usuarios a usar contraseñas fuertes (esto lo hace por defecto WordPress desde la versión 4.3, pero no esta de más asegurarnos).
  • Limitar los intentos de iniciar sesión, y así bloquear los ataques por fuerza bruta.
  • Realizar una búsqueda periódica de malware, para que nos avise en caso de cambios inesperados, y podamos solucionarlo de manera eficaz y rápida.
  • Eliminar posibles vulnerabilidades o debilidades de los plugins o temas que tengamos instalados.
  • Bloquear bots (programas automáticos) en busca de dichas vulnerabilidades.

Para poder hacer todo esto, vamos a contar con plugins que nos van a ayudar, y tareas periódicas de mantenimiento que hay que hacer si o si.

Lo más importante: Mantén WordPress actualizado

Como te he explicado, una de las formas más frecuentes de ataque es aprovechando las vulnerabilidades de plugins, temas, o del propio WordPress. Por eso a veces salen actualizaciones, que corrigen dichas debilidades, y es sumamente aplicarlas.

No debes tener miedo a actualizar, si lo haces bien, y no dejas que se acumulen las actualizaciones.

  • Nunca actualices WordPress tras salir la actualización. O si lo haces, asegúrate de tener una copia de seguridad que sepas restaurar. Normalmente se espera dos o tres días, a que se descubran posibles fallos o incompatibilidades que pueda dar. En cuanto pase el periodo de gracia ni lo pienses. Actualiza.
  • Si tienes varias actualizaciones de plugins pendientes, no las hagas todas de golpe. Es mejor ir de una en una, aunque tardes más. De ese modo si alguna falla, sabrás exactamente cual ha sido, y podrás solucionarlo.
  • Actualiza tambien temas o plugins que tengas desactivados. Aunque de esto te hablaré más adelante.
  • Siempre haz una copia de seguridad antes de actualizar por si acaso.

Entro en muchas webs que tienen aún WordPress 3.9 o similar. Que nadie que lea Ciudadano 2.0 sea de estos por favor. Ponte manos a la obra, que es muy sencillo.

Especial cuidado con actualizar los temas, pues si no usas un sistema basado en un Child Theme es fácil que al actualizar pierdas cambios y personalizaciones realizadas. Para eso lo mejor es usar un sistema, como cuando te instalas Genesis Framework + un Child Theme. Si es tu caso, y no quieres cambiar de tema, habla con un profesional para que te haga un Child Theme.

Instala un plugin todo en uno

Lo primero es instalar un plugin que nos ayude a realizar varias funciones. Aquí te voy a dar dos elecciones, ya probadas:

Wordfence Security es el plugin que suelo usar para proteger mis instalaciones fuera de WPEngine, y las de mis clientes. Es sencillo de usar, y prácticamente desde su activación ya estas protegido sin haber configurado nada.

Otra opción que uso en algunos de mis clientes es el plugin iThemes Security (conocido tambien por Better WP Security).

Utiliza solo uno de ellos. Aunque hay gente que usa ambos combinados, creo que si no sabes lo que haces te puede dar más problemas que soluciones.

Cualquiera de ellos te va a ayudar a limitar los intentos de login, bloquear bots y ataques, y reforzar en general la seguridad de WordPress.

Simplemente usa el que te llame más la atención.

Añadamos un extra de seguridad

Con las dos medidas anteriores, ya tienes tu WordPress lo suficientemente seguro. Pero a mi me gusta añadir una medida extra.

El plugin Sucuri Security te ayuda a escanear en busca de malware y avisarte rapidamente si ha encontrado algo o estas en listas negras.

Tambien conserva un log de las actividades en WordPress (inicios de sesión, etc…) y puedes recibir estas notificaciones en tu email.

Aviso: No te satures de notificaciones, pues llegará un momento que no eches cuenta, y no te ayudará a mejorar la seguridad. Desactiva las que creas no te serán de utilidad.

Ojo: En Webempresa ya están de Black Friday - ¡Ahora tienes un 40% de descuento!

Pilar #5. No hay nada infalible. Ten a mano un Backup

Todo puede fallar. aunque tengas la web más optimizada del mundo.

Un día tu mismo puedes eliminar toda tu Web.

O un día te descuidas y usas una wifi pública y tu contraseña se ve comprometida, y entran en tu web.

Al final ha pasado lo que tanto temías. Has perdido todo tu trabajo.

Pero si llevas a cabo una política correcta de copias de seguridad, no tiene porque pasar nada.

Para hacer las copias de seguridad puedes usar el plugin UpdraftPlus. Me gusta porque es sencillo de usar, sirve para todo lo que necesitamos, y permite hacer restauraciones de forma sencilla.

Ten en cuenta estos consejos:

  • Las copias de seguridad siempre deben de hacerse en un repositorio externo, en la nube, como Dropbox o similar. No sirve de nada si se quedan en tu servidor.
  • Las copias deben ser programadas y automáticas. Siempre que puedas, prográmalas de noche.
  • No es necesario tener una copia diaria de tus ficheros. ¿Qué puedes perder, las últimas imagenes subidas? Así que puedes hacerla semanalmente, y conserva al menos 4 copias (un mes de copias de seguridad?
  • Las bases de datos si cambian cada día (comentarios, actualizaciones de post, etc….), así que programa una copia diaria, y conserva al menos 7 (una semana).
  • Por último, no sirve de nada una copia de seguridad, si de vez en cuando no miras en la carpeta que se esta haciendo, y compruebas que efectivamente se hacen, están actualizadas, y puedes restaurar los ficheros.

Aparte de tenerlas programadas, no olvides hacer una a mano antes de actualizar, o después de hacer grandes cambios de diseño en tu web.

¡No te preocupes! El plugin que te recomiendo hace todo esto que te he dicho.

En seguridad, si uno de los pilares falla, la casa se cae

Como ves, y seguro que te has dado cuenta, si uno de los pilares falla, todo se cae.

  • De nada sirve tener una contraseña fuerte, si la consigue un virus de tu ordenador.
  • De nada sirve que tu ordenador sea un fortín, si luego no actualizas WordPress y arreglas esa vulnerabilidad tan grave que encontraron hace poco.
  • De nada sirve que lo mantengas WordPress actualizado y blindado, si luego te entran por vulnerabilidades del servidor.
  • De nada sirve tener un gran servidor, para que te puedan entrar por FTP por tener una contraseña débil.

Es la pescadilla que se muerde la cola. O refuerzas los 4 pilares periféricos, o nada hay que hacer.

Y el quinto viene a la ayuda, reforzando desde el centro. Las copias de seguridad que están siempre ahi para ayudarnos a levantarnos rápido si caemos.

Son las 5 medidas básicas que aplico en las webs que diseño, y aun no ha caído ninguna. Unete a la comunidad de bloggers que descansamos tranquilo sabiendo que WordPress es seguro.

No he podido hacer un paso a paso con todas las instrucciones.

Son casi 3000 palabras para explicarte 5 cosas que tienes que tener en cuenta para evitar ser hackeado.

Es lo único que tienes que aplicar. Y tienes enlazado tutoriales con explicaciones de las herramientas.

Haz que sean de utilidad. Aplícalas y duerme tranquilo.

¿Has tenido alguna experiencia desagradable con tu web? ¿Piensas que conocer esto antes te hubiera ayudado?

 

Acerca del autor: Javier Gobea

Ayudo a negocios unipersonales, diseñando y manteniendo un sitio web más seguro, rápido y flexible. 100% libre de problemas. Para que puedan dedicarse a lo realmente importante: vender o, simplemente, disfrutar más.

¿Quieres descubrir cómo conseguirlo tú? Puedes verlo aquí.


Comentarios

  1. Saludos!! Estoy meditando iniciar un proyecto de comunidad que tiene la intención de hacerse grande en uno o dos años con un target potencial de unos 80.000 usuarios que entrarían a la web al menos una vez por semana desde incluso América Latina. Se ha hablado de crear la web desde cero, pero yo tengo un blog con WordPress y me encanta como está hecho y las posibilidades que ofrece, ya que se precisaría que cada uno de los usuarios tuviera su propia intranet y la capacidad de subir contenido. Los demás socios involucrados en el proyecto lo han descartado argumentando que al tratarse de un CMS, es más vulnerable a los ataques y que la seguridad que ofrece no es comparable a una web hecha a medida por no mencionar el hecho de que habría que hacerle una serie de modificaciones a la interfaz que costarían mucho en tiempo y dinero. Mi argumento es que una web hecha a medida sigue siendo tan vulnerable como un WordPress, pero yo no sé mucho sobre el tema y me gustaría conocer tu opinión al respecto. Como ya he dicho, se prioriza la seguridad y el diseño por este orden. ¿Es cierto que un WordPress es más vulnerable? ¿Que utilizarías en la realización de este proyecto? Gracias!!!

    • Berto López dice:

      Hola Vicente,

      Permíteme que sea claro: tus amigos no tienen la menor idea de lo que están hablando.

      WordPress es un producto madura y seguro, sólo hay que configurarlo bien y alojarlo en un buen hosting (que haría innecesarias parte de las medidas de seguridad).

      Aparte de esto, hacer una web así a medida si un CMS es un disparate en coste.

      ¡Un saludo!
      Berto

  2. Fernando Rengifo dice:

    ¡Qué gran post! Gracias por compartir tu experiencia, Javier.

    Una pregunta: ¿sería una buena idea agregar un robots.txt para añadir mayor seguridad?

    ¡Saludos desde Perú!

  3. Excelente artículo, de gran utilidad. Me sirivió muchísimo para aplicarlo en los sitios de mis clientes.
    Éxitos!!!

  4. Excelente! Déjenme decirles que vengo de TRES ataques. Me hackearon tres páginas hechas en WordPress y lógicamente estaba aprendiendo. Ahora ya reforcé ese conocimiento y aprendí a usar seguridad en wordpress gracias a post como este. Muchas gracias!

    • Vaya Sócrates! Pues espero que este post haga que evites una cuarta. ¿En que servidor estas? Usando Webempresa por ejemplo, es muy muy raro que te ataquen tanto, así que yo miraría de cambiar.

      Un abrazo.

  5. muchas gracias buen post

  6. Muy buen post y muy completo. Y con un lenguaje muy didactico!
    Ahora a ponerme manos a la obra con los pilares de seguridad de mi WP.
    Gracias por la informacion Javier.
    Un saludo.

Deja un comentario

Para ello, por favor, sigue estas pautas, por respeto a nuestra comunidad (y a nosotros):

  • Usa tu nombre personal, ni nombres inventados, ni el de tu web, ni el de tu empresa.
  • Cuida la redacción: separa párrafos y no escribas en mayúsculas (equivale a gritar).
  • No dejes enlaces a tu web en el comentario, dispones del campo "sitio web" para ello.
  • Eliminaremos comentarios con insultos, ofensivos o con lenguaje soez.

Al rellenar el formulario estás dando el consentimiento expreso al tratamiento de tus datos (guardar tu comentario y datos del formulario en el blog) conforme al Reglamento General de Protección de Datos (RGPD).

El responsable de este sitio es Wenova Online S.L., cuya finalidad es el envío de información y formación sobre blogging y marketing online, con la legitimación de tu consentimiento otorgado en el formulario.

El destinatario de tus datos es Webempresa (el hosting de este blog, ubicado en España) y podrás ejercer tus derechos de acceso, rectificación, limitación o supresión de tus datos (ver la política de privacidad).

*

 

Accede al training de pro-blogging

Aprenderás paso a paso y desde cero las mejores técnicas, trucos y secretos de los top bloggers

Y todo 100% gratis :)