Seguridad de WordPress: Guía completa para principiantes


Éste es un post de invitado de Javier Gobea. Javier ayuda a negocios unipersonales diseñando y manteniendo sitios web basados en WordPress y optimizados que sean seguros, rápidos y flexibles. Lo puedes encontrar en su blog Hormigas en la Nube.

Tu día a día como blogger es una lucha constante contra elementos que quieren entrar en tu web y usarla para fines… muy distintos al que habías pensado.

Reconocerlo y saberlo es el primer paso para mejorar la seguridad de WordPress.

cabecera seguridad en wordpress

Imagen de Shutterstock - ©Dacian G.

¿Quieres saber a qué me refiero?

  • Bots (programas automáticos) que buscan vulnerabilidades en tu web.
  • Crackers, personas con algunos conocimientos de los sistemas, buscando entrar tambien.
  • Ese compañero de trabajo al que le duele tu éxito, y ha averiguado en Google como usar WPScan o Exploits.
  • El diseñador poco profesional que te hizo la web, y esta resentido porque has contratado a otro mejor.

Casos hay cientos, más de los que te he puesto aquí de ejemplo, y cada uno de estos, los he vivido, combatido o recuperado.

El último caso es real. No pienses que no ocurre.

Me avisó una web en la que había trabajado haciendo unos cambios, de que había desaparecido por completo.

Revisando los logs del servidor, vimos que la orden de borrado de todos los ficheros se había hecho por FTP, y desde la IP del diseñador original de la web. ¿Cómo se sabe que era su IP? Porque coincide con su localidad, y porque es la misma IP que figuraba en los logs de cuando se creo la web. Asi que sí, estas cosas pasan.

Y no te creas que por estar empezando, no recibes ataques. Te sorprenderías con la rapidez con la que tu blog comienza a recibir estas visitas no deseadas. Y de hecho, cómo verás ,los blogs novatos son los más vulnerables.

El único que no te he puesto es el del hacker profesional.

Hasta yo pienso que como uno se empeñe a entrar en mi web, lo consigue.

Pero precisamente estos no vienen a hacer daño. Es solo la superación del reto. Y en este caso, tambien pienso que no soy lo suficientemente importante o conocido para ser un reto, estando por ahi disponible la web de la Casa Blanca.

Y que ataques puedes recibir o para qué:

  • Ataques de fuerza bruta o de diccionario para averiguar tu contraseña (hay diccionarios con más de 100000 posibles contraseñas, y que efectivamente son usadas por el 73% de las personas).
  • Ataques de Psicología Social (el típico email de hemos detectado un problema con su cuenta, envíe usuario y contraseña, o la llamada averiguando detalles nuestros), o incluso el Basureo (no, lo siento, tienes que leer más para saber que es esta técnica).
  • Aprovechamiento de vulnerabilidades XSS, MySQL exploits, o fallos en código php. Muy técnico. Un rollo. Pero quédate con la idea que la tecnología que usamos puede tener fallos, y hay que aplicarle parches para cerrar esos agujeros de seguridad.
  • Ataques DDoS, o de denegación de servicio. Esto es que recibes tantas peticiones, que te echan el servidor abajo.
  • Spam SEO: Llenan tus artículos de enlaces ocultos, para posicionar webs fraudulentas, y a ti te tocará estar en listas negras.

Pero no te preocupes.

Respira.

Que para eso estoy aquí, para dejarte esta mega-guía con pilares que tienes que reforzar la seguridad en tu web y convertirla en el Fort Knox de los WordPress.

Los 5 pilares fundamentales para mejorar la seguridad de WordPress

Cuando hayas reforzado estas cinco bases de tu proyecto, dormirás más tranquilo.

Tambien descubrirás, que en contra de lo que pensabas, si estas siendo atacado ahora mismo. Pero por lo menos ya sabes que le pusiste solución y estas protegido.

No hay ninguna parte más importante que otra. Simplemente hay que reforzar las 5 o el sistema tendrá un punto de fallo.

Y una vez hecho, solo es cuestión de aplicar lógica y tener en cuenta dos o tres medidas básicas.

¿Vamos a ello?

Pilar #1. El eslabón más débil de la cadena somos nosotros

Pues sí, voy a empezar por el más básico, pero de algún modo el que más falla. El eslabón más débil de la cadena de seguridad somos nosotros, y el principal punto de entrada de ataques. Así que sigue estos consejos al pie de la letra, y conviértete en el eslabón más fuerte.

seguridad de wordpress eslabones

Las personas somos el eslabón débil de la cadena de seguridad.

Usa contraseñas fuertes.

El fallo número uno. Hay que usar contraseñas fuertes.

Y fuerte no significa solo larga, y con números y mayusculas y minúsculas. Fuerte significa además aleatoria.

No sirve de nada que Luis Perez, que tiene un perro que se llama Nostradamus (Nostri es como lo llaman en la familia), ponga de contraseña Nostradamus10062013.

Si. Es segura. Y si, un ataque de fuerza bruta lo tendrá complicado. Pero alguien que lo conozca puede tener sencillo descifrarla.

Una contraseña segura es esta: 2nFBxtjGH?TR1a

Al final te cuento el secreto para recordarlas.

Usa contraseñas diferentes.

Por que claro, de nada te vale usar una contraseña fuerte, si luego te registras en todos los sitios con la misma.

Pues sabrás que no todos los sitios guardan la contraseña de una forma cifrada.

Y por tanto ese foro de cocina que tanto te gusta, o esa web donde te registraste mientras buscabas coche, puede que este viendo tu email y contraseña. Y por tanto, tener acceso a tu Facebook, correo,…

O que se produzca un ataque de esos que roban miles de contraseñas, de algún servicio web, y se vean comprometidos todos tus servicios.

Así que ya sabes, fuerte, aleatoria, y además diferente para cada cuenta y web.

¿Ves como vas a necesitar algo para recordarlas?

No se las des a nadie. Nunca.

Repito. Nunca.

Si un desarrollador tiene que entrar a tu sitio web, para revisar un plugin, para hacerte cambios, etc… crea un usuario para el, que podrás desactivar después, eliminar, o cambiarle los permisos.

Así tendrás controlado quien entra en tu web, y cuando.

Y si no puedes crear un usuario, cambia la contraseña, y pon una temporal, y cuando finalice el trabajo, vuélvela a cambiar.

Multiplica el Nº de gente que lee tu blog

Con este eBook gratuito de plantillas de copywriting crearás titulos que dispararán los clics en tus contenidos:

  • 77 Plantillas de títulos probadas que multiplicarán los clics.
  • Sacaras infinitas ideas crear tus propios títulos.
  • Con las palabras "mágicas" redactarás textos irresistibles.
¡Buenas! ¿Me dices tu nombre?

¡Un placer conocerte!

Apuntáte aquí y recibirás gratis una copia del eBook.

Recuerda de forma eficaz y segura tantas contraseñas

No vale apuntarlas en un post-it, o en tu agenda. O en un papel que luego arrugas y tiras a la papelera.

¿Recuerdas que te hablaba del basureo?

Pues es precisamente buscar en la mesa, o basura de alguien por este tipo de apuntes. Si; es una técnica de hackeo. ¿Increíble verdad?

Así que para que puedas recordar una contraseña fuerte, aleatoria y diferente para cada cuenta o sitio web, lo mejor es usar un gestor de contraseñas:

  • LastPass: con versiones para todos los sistemas operativos habituales, app para móviles y extensiones para navegador. Gratuita y con versión premium. Lo que no me gusta es que las contraseñas se almacenan cifradas en sus servidores.
  • 1Password: Multiplataforma tambien, pero solo en versión de pago. Es el que uso, porque funciona genial, y las contraseñas están almacenadas en mi propio Dropbox en un fichero cifrado.
  • Dashlane: Versión para Mac, Windows y apps para smartphones, y completamente gratis. Para mi recién descubierto, pero tiene buena pinta. De haberlo encontrado antes tal vez no hubiera comprado 1Password. Las contraseñas se almacenan tambien de manera local.

Con estos sistemas solo deberás recordar una contraseña. La de acceso a la base de datos de contraseñas. El resto estará cifrado y seguro. Tan seguro, que si olvidas esa contraseña… ¡las perderás para siempre! (y ahora no me vayas a apuntar ésta en el post-it pegado a tu monitor…)

La diferencia entre que se almacene de manera local o remota, es que si los servidores de la empresa se ven comprometidos, tus contraseñas estarán expuestas. Yo soy más de tener yo el control, pero seguro que ellos invierten más en seguridad que yo.

Pilar #2. Tu ordenador y sistemas siempre seguros

De nada sirve usar contraseñas fuertes y poner mil medidas de seguridad, si luego un simple keylogger (un programa que captura lo que escribimos en el teclado) captura tus datos de acceso.

Por lo tanto, es una parte imprescindible que le des vitaminas a tu ordenador, para protegerlo de virus, y malware.

captura antivirus kaspersky

No es difícil manejar uno de los antivirus más potentes que ahi.

Eso se hace con un buen antivirus, y mucho sentido lógico.

Para mi los mejores antivirus serian Karpesky, Avast y BitDefender. ¿Debes usar exclusivamente uno de estos? No, si el que tienes te va bien, no tienes porque cambiar. Pero si no usas ninguno, tienes donde elegir. Imprescindible si usas Windows.

Si eres usuario de Mac o Linux, no te confíes. No te creas la leyenda urbana de que no existen virus o malware para estos sistemas. No es cierta. Pero tampoco necesitas un antivirus. Sus sistemas de permisos, y que sean sistemas menos extendidos, los hace menos apetecibles a ataques. Si necesitas usar mucho tu sentido común.

Consejos aplicables a todos los sistemas (ordenadores o móviles):

  • No instales aplicaciones de procedencia sospechosa. Unos euros ahorrados por usar una app pirata te pueden costar caros. Ni instales apps gratuitas “extrañas” en tu equipo de trabajo”. No descargues de Softonic (curiosamente, la versión gratuita de avast te manda descargarla de softonic…).
  • Usa solo en general herramientas probadas y con buena reputación, que tengan reviews de bloggers independientes.
  • No abras adjuntos de correos electrónicos de desconocidos. Y de conocidos si no esperas nada, observalo con precaución.
  • Solo usa tus claves en webs que tu mismo hayas escrito la url.

Y unos consejos extras, relacionados con las comunicaciones:

  • Por ahorrarte de nuevo unos eurillos, no compartas la conexión a Internet con vecinos o desconocidos. Mucho menos, le “robes” la conexión a nadie.
  • No uses WiFis públicas de centros comerciales u hoteles.

El motivo de esto es que es muy sencillo para alguien, “sniffar” o extraer toda la información que circula por esa red, para después analizarla tranquilamente. Esta recomendación es sobre todo importante si el panel de admin de tu WordPress no usa https. Es un consejo básico para mejorar la seguridad.

Pilar #3. La seguridad de tu WordPress es el cimiento de tu negocio online

Tengo claro que no abrirías un bar en un edificio viejo, o mal construido, que piensas que se te puede venir abajo en cualquier momento.

O que los ladrones se pueden colar haciendo un simple agujero en la pared de lo debilucha que es.

¿Entonces porque usas para tu negocio online servidores de poca calidad?

Yo personalmente, al igual que Berto, recomiendo a todos mis clientes Webempresa. Por seguridad, por soporte, y por rendimiento.

Aquí te dejo una captura de pantalla de sus diferentes planes y precios (haz clic en ella si quieres irte a su web):

tabla planes webempresa

Los planes de Webempresa y sus precios con el descuento especial del 20% para los lectores de este blog.

La seguridad de Webempresa es excepcional:

  • Medidas de seguridad pro-activas, para que aunque no actualices no te veas afectado.
  • Medidas de seguridad pasivas, como bloqueo por intentos fallidos repetidos de iniciar sesión.
  • Bloqueo a todos los países de habla no hispana al admin de tu web. ¡Ni te imaginas lo que te quita esto de encima!

Otro servidor que me funciona muy bien a nivel de seguridad para WordPress, y donde esta alojado ahora mismo mi blog, es WPEngine. Mucho más caro, pero sencillamente te olvidas de gestionar seguridad o rendimiento, ya que es un hosting gestionado para WordPress.

En este caso, de nuevo, querer ahorrar algo de dinero, te puede costar realmente caro luego.

Aquí no hay más ciencia. Si quieres seguridad en tu WordPress, invierte en un servidor de verdad.

Como ejemplo, decirte que uno de los más famosos, Hostgator, no se porque últimamente me he encontrado numerosos clientes que lo usaban, con el blog infectado por Spam SEO.

Sencillamente es mejor elegir algo que te un buen soporte, y mas que ser muy famoso, saber que gestiona muy bien sus recursos.

No hay mayor complicación para tener un buen pilar de seguridad en este sentido.

Ver planes y precios de Webempresa + obtener 20% dto.

Pilar #4. La seguridad de WordPress es algo que no hay que olvidar

No podemos estar hablando de la seguridad en WordPress, y no hablar de lo que hay que hacer, para que ésta sea inmejorable.

captura sucuri security

Resultado de un escáner hecho con Sucuri Security.

Básicamente se basa en reforzar varios aspectos:

  • Obligar a los usuarios a usar contraseñas fuertes (esto lo hace por defecto WordPress desde la versión 4.3, pero no esta de más asegurarnos).
  • Limitar los intentos de iniciar sesión, y así bloquear los ataques por fuerza bruta.
  • Realizar una búsqueda periódica de malware, para que nos avise en caso de cambios inesperados, y podamos solucionarlo de manera eficaz y rápida.
  • Eliminar posibles vulnerabilidades o debilidades de los plugins o temas que tengamos instalados.
  • Bloquear bots (programas automáticos) en busca de dichas vulnerabilidades.

Para poder hacer todo esto, vamos a contar con plugins que nos van a ayudar, y tareas periódicas de mantenimiento que hay que hacer si o si.

Lo más importante: Mantén WordPress actualizado

Como te he explicado, una de las formas más frecuentes de ataque es aprovechando las vulnerabilidades de plugins, temas, o del propio WordPress. Por eso a veces salen actualizaciones, que corrigen dichas debilidades, y es sumamente aplicarlas.

No debes tener miedo a actualizar, si lo haces bien, y no dejas que se acumulen las actualizaciones.

  • Nunca actualices WordPress tras salir la actualización. O si lo haces, asegúrate de tener una copia de seguridad que sepas restaurar. Normalmente se espera dos o tres días, a que se descubran posibles fallos o incompatibilidades que pueda dar. En cuanto pase el periodo de gracia ni lo pienses. Actualiza.
  • Si tienes varias actualizaciones de plugins pendientes, no las hagas todas de golpe. Es mejor ir de una en una, aunque tardes más. De ese modo si alguna falla, sabrás exactamente cual ha sido, y podrás solucionarlo.
  • Actualiza tambien temas o plugins que tengas desactivados. Aunque de esto te hablaré más adelante.
  • Siempre haz una copia de seguridad antes de actualizar por si acaso.

Entro en muchas webs que tienen aún WordPress 3.9 o similar. Que nadie que lea Ciudadano 2.0 sea de estos por favor. Ponte manos a la obra, que es muy sencillo.

Especial cuidado con actualizar los temas, pues si no usas un sistema basado en un Child Theme es fácil que al actualizar pierdas cambios y personalizaciones realizadas. Para eso lo mejor es usar un sistema, como cuando te instalas Genesis Framework + un Child Theme. Si es tu caso, y no quieres cambiar de tema, habla con un profesional para que te haga un Child Theme.

Instala un plugin todo en uno

Lo primero es instalar un plugin que nos ayude a realizar varias funciones. Aquí te voy a dar dos elecciones, ya probadas:

Wordfence Security es el plugin que suelo usar para proteger mis instalaciones fuera de WPEngine, y las de mis clientes. Es sencillo de usar, y prácticamente desde su activación ya estas protegido sin haber configurado nada.

Otra opción que uso en algunos de mis clientes es el plugin iThemes Security (conocido tambien por Better WP Security).

Utiliza solo uno de ellos. Aunque hay gente que usa ambos combinados, creo que si no sabes lo que haces te puede dar más problemas que soluciones.

Cualquiera de ellos te va a ayudar a limitar los intentos de login, bloquear bots y ataques, y reforzar en general la seguridad de WordPress.

Simplemente usa el que te llame más la atención.

Añadamos un extra de seguridad

Con las dos medidas anteriores, ya tienes tu WordPress lo suficientemente seguro. Pero a mi me gusta añadir una medida extra.

El plugin Sucuri Security te ayuda a escanear en busca de malware y avisarte rapidamente si ha encontrado algo o estas en listas negras.

Tambien conserva un log de las actividades en WordPress (inicios de sesión, etc…) y puedes recibir estas notificaciones en tu email.

Aviso: No te satures de notificaciones, pues llegará un momento que no eches cuenta, y no te ayudará a mejorar la seguridad. Desactiva las que creas no te serán de utilidad.

Como la mejor opción para tu hosting, te recomiendo Webempresa

Ver planes y precios + obtener 20% dto.

Pilar #5. No hay nada infalible. Ten a mano un Backup

Todo puede fallar. aunque tengas la web más optimizada del mundo.

Un día tu mismo puedes eliminar toda tu Web.

O un día te descuidas y usas una wifi pública y tu contraseña se ve comprometida, y entran en tu web.

Al final ha pasado lo que tanto temías. Has perdido todo tu trabajo.

Pero si llevas a cabo una política correcta de copias de seguridad, no tiene porque pasar nada.

Para hacer las copias de seguridad puedes usar el plugin UpdraftPlus. Me gusta porque es sencillo de usar, sirve para todo lo que necesitamos, y permite hacer restauraciones de forma sencilla.

Ten en cuenta estos consejos:

  • Las copias de seguridad siempre deben de hacerse en un repositorio externo, en la nube, como Dropbox o similar. No sirve de nada si se quedan en tu servidor.
  • Las copias deben ser programadas y automáticas. Siempre que puedas, prográmalas de noche.
  • No es necesario tener una copia diaria de tus ficheros. ¿Qué puedes perder, las últimas imagenes subidas? Así que puedes hacerla semanalmente, y conserva al menos 4 copias (un mes de copias de seguridad?
  • Las bases de datos si cambian cada día (comentarios, actualizaciones de post, etc….), así que programa una copia diaria, y conserva al menos 7 (una semana).
  • Por último, no sirve de nada una copia de seguridad, si de vez en cuando no miras en la carpeta que se esta haciendo, y compruebas que efectivamente se hacen, están actualizadas, y puedes restaurar los ficheros.

Aparte de tenerlas programadas, no olvides hacer una a mano antes de actualizar, o después de hacer grandes cambios de diseño en tu web.

¡No te preocupes! El plugin que te recomiendo hace todo esto que te he dicho.

En seguridad, si uno de los pilares falla, la casa se cae

Como ves, y seguro que te has dado cuenta, si uno de los pilares falla, todo se cae.

  • De nada sirve tener una contraseña fuerte, si la consigue un virus de tu ordenador.
  • De nada sirve que tu ordenador sea un fortín, si luego no actualizas WordPress y arreglas esa vulnerabilidad tan grave que encontraron hace poco.
  • De nada sirve que lo mantengas WordPress actualizado y blindado, si luego te entran por vulnerabilidades del servidor.
  • De nada sirve tener un gran servidor, para que te puedan entrar por FTP por tener una contraseña débil.

Es la pescadilla que se muerde la cola. O refuerzas los 4 pilares periféricos, o nada hay que hacer.

Y el quinto viene a la ayuda, reforzando desde el centro. Las copias de seguridad que están siempre ahi para ayudarnos a levantarnos rápido si caemos.

Son las 5 medidas básicas que aplico en las webs que diseño, y aun no ha caído ninguna. Unete a la comunidad de bloggers que descansamos tranquilo sabiendo que WordPress es seguro.

No he podido hacer un paso a paso con todas las instrucciones.

Son casi 3000 palabras para explicarte 5 cosas que tienes que tener en cuenta para evitar ser hackeado.

Es lo único que tienes que aplicar. Y tienes enlazado tutoriales con explicaciones de las herramientas.

Haz que sean de utilidad. Aplícalas y duerme tranquilo.

¿Has tenido alguna experiencia desagradable con tu web? ¿Piensas que conocer esto antes te hubiera ayudado?

 

Acerca del autor: Javier Gobea

Ayudo a negocios unipersonales diseñando y manteniendo un sitio web más seguro, rápido y flexible. 100% libre de problemas. Para que puedan dedicarte a lo realmente importante: vender o simplemente disfrutar más. ¿Quieres descubrir como conseguirlo tu?

Comentarios

  1. Saludos!! Estoy meditando iniciar un proyecto de comunidad que tiene la intención de hacerse grande en uno o dos años con un target potencial de unos 80.000 usuarios que entrarían a la web al menos una vez por semana desde incluso América Latina. Se ha hablado de crear la web desde cero, pero yo tengo un blog con WordPress y me encanta como está hecho y las posibilidades que ofrece, ya que se precisaría que cada uno de los usuarios tuviera su propia intranet y la capacidad de subir contenido. Los demás socios involucrados en el proyecto lo han descartado argumentando que al tratarse de un CMS, es más vulnerable a los ataques y que la seguridad que ofrece no es comparable a una web hecha a medida por no mencionar el hecho de que habría que hacerle una serie de modificaciones a la interfaz que costarían mucho en tiempo y dinero. Mi argumento es que una web hecha a medida sigue siendo tan vulnerable como un WordPress, pero yo no sé mucho sobre el tema y me gustaría conocer tu opinión al respecto. Como ya he dicho, se prioriza la seguridad y el diseño por este orden. ¿Es cierto que un WordPress es más vulnerable? ¿Que utilizarías en la realización de este proyecto? Gracias!!!

    • Berto López dice:

      Hola Vicente,

      Permíteme que sea claro: tus amigos no tienen la menor idea de lo que están hablando.

      WordPress es un producto madura y seguro, sólo hay que configurarlo bien y alojarlo en un buen hosting (que haría innecesarias parte de las medidas de seguridad).

      Aparte de esto, hacer una web así a medida si un CMS es un disparate en coste.

      ¡Un saludo!
      Berto

  2. Fernando Rengifo dice:

    ¡Qué gran post! Gracias por compartir tu experiencia, Javier.

    Una pregunta: ¿sería una buena idea agregar un robots.txt para añadir mayor seguridad?

    ¡Saludos desde Perú!

  3. Excelente artículo, de gran utilidad. Me sirivió muchísimo para aplicarlo en los sitios de mis clientes.
    Éxitos!!!

  4. Excelente! Déjenme decirles que vengo de TRES ataques. Me hackearon tres páginas hechas en WordPress y lógicamente estaba aprendiendo. Ahora ya reforcé ese conocimiento y aprendí a usar seguridad en wordpress gracias a post como este. Muchas gracias!

    • Vaya Sócrates! Pues espero que este post haga que evites una cuarta. ¿En que servidor estas? Usando Webempresa por ejemplo, es muy muy raro que te ataquen tanto, así que yo miraría de cambiar.

      Un abrazo.

  5. muchas gracias buen post

  6. Muy buen post y muy completo. Y con un lenguaje muy didactico!
    Ahora a ponerme manos a la obra con los pilares de seguridad de mi WP.
    Gracias por la informacion Javier.
    Un saludo.

  7. Hola Javier.

    Enhorabuena por este post tan completo y tan necesario!

    Yo uso iThemes Security en los blogs que mantengo para algunos clientes. Y en uno de ellos, últimamente recibo cada 2 o 3 días un email que me avisa de que ha bloqueado un host “due to too many bad login attempts”. Supongo que no pasa nada y que para eso sirve precisamente el plugin pero, ¿debería yo hacer algo más? Es como si alguien estuviera intentando entrar en mi casa y lo único que puedo hacer es asegurarme de que la puerta está bien cerrada 😉

    Por cierto, muy bueno tu blog! Ya lo sigo desde mi lector de feeds.

    Un saludo!

    • Hola Borja.

      Gracias por tus palabras.

      Efectivamente las notificaciones son un poco “estresantes” en ocasiones. En ocasiones, o rachas de ataques se pueden llegar a recibir muchas de ellas, y eso puede provocar un efecto contrario: que por sistema te limitas a eliminarlas, sin leerlas.

      La que recibes te dice que ok, que el plugin ha hecho su trabajo. Pues yo esa notificación la dejaría unos días, por ser conscientes de que nos atacan, y luego la quitaría. Me gusta dejar las notificaciones que me avisan de una modificación de post, o de un cambio en los ficheros, pero las justas y necesarias.

      De momento no te preocupes, estas protegido!

      Un abrazo.

  8. Wao , me gusto mucho Amigo , me pase 15. minutos leyendo todo 🙂

    Siempre aprendiendo un poco sobre el mundo de internet en ciudadano2cero

  9. ¡Pedazo Post!
    Enhorabuena Javier,
    Esta guía ayudará a novatos y no novatos para dedicar su tiempo a lo que realmente importa.
    Yo que sé de primera mano que no das puntada sin hilo, si nos dices que estos son los 5 pilares fundamentales pues tengo meridianamente claro que la prioridad pasa por resolver estas 5 claves antes de buscar otras historias.

    Un abrazo y muchas gracias

  10. Hola Javier,

    Muy buen artículo. He aprendido cosas que ni imaginaba que podían suceder.

    Con respecto a la pérdida de un blog, he sido víctima de “algo”, no sabría explicar qué pasó o quién me hizo algo en el blog (no creo). Resumiendo, para no alargar el comentario, estaba probando UpdraftPlus y el plugin hizo copia de parte del blog, no de todo el blog. De hecho perdí 11 post y 1 páginas. Pude recuperar una página y un post. En este post lo explico todo por si alguien quiere echarle un vistazo. Y si saben cómo se puede recuperar la parte perdida, pues me ayudarían mucho. Sólo cabe destacar que perdía fotos, post y páginas, pero comentarios (210) y plugins no. Es algo curioso. Ah, también decir que algunas copias de seguridad no tenían información ninguna a excepción de plugins y comentarios y las copias mejores apenas el trabajo de dos meses.
    Sólo comentarte esto por si es mejor probarlo en una web que no sea la definitiva antes de confiar en este plugin (como uso la versión gratuita no tiene soporte. Me ofrecen comprar la versión de pago y si no se puede recuperar el blog la devolución del dinero. Esto me hizo desconfiar de la empresa por como fue el caso. Me imagino que si el blog no hubiera tenido 4 meses sino más, hubiera comprado el plugin)

    Gracias por el artículo!Un abrazo a todos

    PD totalmente de acuerdo con usar Webempresa, ya me cambié porque el otro proveedor me dejó de ofrecer copias de seguridad sin previo aviso. Y el blog ha mejorado mucho en velocidad. Gracias Berto por la recomendación. Lo contraté por tu afiliación.

    • Me alegro José de que te haya ido bien con Webempresa, José. Es una apuesta segura 🙂

      Aprovecho para comentar que tengo pendiente responder a algún que otro comentario más, pero me ha dado una gastroenteritis fuerte y estoy que no puedo con mi alma 🙁

      ¡Un saludo!
      Berto

    • Hola Jose.

      Siento lo que te ha pasado. Una de las cosas que comento, es que las copias de seguridad no sirven de nada, sin una política de comprobación, ya que lo que comentas puede pasar, pero no por el plugin en si, ya que puede pasar con cualquiera, si nor fallos, cortes, etc… que corten el proceso de copia. También es importante tener una buena politica de copias de seguridad, no conformándote con tener solo una. Yo por ejemplo mantengo 4 copias semanales de todo (eso es un mes completo), y 7 copias diarias de la base de datos (una semana completa). Además con Webempresa, tienes doble backup.
      Para mi updraft plus es la opción nº1. El más sencillo de usar tanto para hacer backups como para recuperarlos.
      Un abrazo.

  11. Excelente guía, hacía falta este tipo de información, pues es mucho lo que aún se desconoce en cuanto a seguridad wordpress.

    Muchas gracias por la información.

    • Totalmente cierto. cuando empece a hablar de seguridad en WordPress, deje de lado completamente hablar de casos, análisis de redes o sistemas, etc… que además otros blogs cubren de manera más que buena. Lo importante a veces son las cosas sencillas y prácticas que todos podemos aplicar y que nos hagan cambiar el chip para preocuparnos y protegernos más.
      Un abrazo.

  12. Muy bueno como siempre Javier, grandes consejos y opciones, algo que parece que no va con nosotros, hablando de forma general, y por eso luego vienen las sorpresas 😉

    Un abrazo y gracias.

    • El problema de la seguridad es que no duele, hasta que no te han atacado. Todo el mundo prefiere tomar pastillas cuando te duele, que tomar vitaminas para evitar tener el problema. Pues esto funciona igual.
      Un abrazo.

  13. Cuando he recibido el e-mail de seguridad de WordPress, pensé en ti Javier, hace poco que leo tu blog, muy interesante todo, al entrar en ciudadano 2.0 he visto que no me he equivocado, ¡eres tú! jajajaja

    Yo tengo la experiencia de hacer el blog e mi hijo y en un par de semanas ha recibido montones de comentarios spam, utilizo akismet para bloquearlos

    Por cierto mi hijo tiene 8 años y publicas juegos y manualidades que hacen en colegio, pero de los ataques no se libra nadie en la red

    Voy a ver Wordfence Security no lo conocía, me parece muy interesante y más si lo usas en tus proyectos Javier.

    Felicidades por el post

    • Hola David.
      Gracias por leerme. Y si, no se salva nadie. Los bots no entienden de edades, temáticas, ni antigüedad del blog. Siempre hay que esta protegido. Si Akismet no te va bien, prueba con Anti-Spam, que es el que se usa por ejemplo aquí, y va muy bien.

      Un abrazo.

  14. Hola compi, el enlace de WPEngine no funciona te lleva a un 404.

    De nada!

  15. Gracias! Muy útil! ??

  16. Los felicito, por este excelente Blog. Buena idea invitar a Javier para que nos instruya de estas buenas prácticas de seguridad, que también merece felicitaciones. Javier, yo utilizo Hostgator y quisiera si puedes me des más elementos que fundamenten tu opinión sobre la seguridad que ellos implementan en sus servidores, cómo y qué medidas pudiera exigirles por soporte para mejorar el nivel de seguridad a nivel de servidor, aunque otros opinan diferente a ti, tu comentario basta para dudar. Esto pudiera servir a otros lectores para sus propios hosting. Inclusive recomiendo un artículo sobre el tema de seguridad en los servidores hosting, tomando como punto de partida lo que hace web empresa puede ser muy útil, aunque se deja esto para usuarios avanzados tener idea de lo que se requiere es fundamental. Muchas gracias.

    • Hola Juan.

      El problema es que hay elementos de seguridad a nivel de servidores que son imposibles de implementar por los usuarios. Algunos ejemplos son als reglas que se pueden aplicar a nivel de mod_security, que hacen que aunque tu no actualices un plugin con un fallo grave, se bloquee el acceso a dicha funcionabilidad, y Hostgator no lo lleva al día. También influye el que un servidor compartido no tenga sus distintas cuentas de clientes encapsuladas, de tal modo que si una cuenta de hosting se infecta, no se propague a las demás. Hostgator lo recomendamos mucho, y usamos casi todos, porque fue un gran hosting a un precio imbatible, pero hoy en día, si vas en serio, es mejor invertir un poco más y pasarte a un servidor en europa.
      ¡Ojo! desde la anulación del acuerdo Safe Harbor, no puedes tener datos de clientes o hacer tratamiento de datos personales en un blog alojado en EEUU.
      Un abrazo.

  17. Realmente un artículo completísimo sobre seguridad y además muy aplicable para los que no somos expertos. Muchas gracias

    • Gracias Juan Pedro.
      No quise hacer nada complicado. Como decía en un comentario anterior, hay más cosas para implementar, pero que es demasiado técnico, y tal vez el aporte de seguridad no sea tan fuerte como estos cinco pilares, que forman un conjunto robusto.
      Un abrazo.

  18. Mariano Noguera dice:

    Gracias Javier, para los que estamos empezando en ésto es muy importante, y personas como tú que nos enseñan es genial.
    Saludos y buena semana.

    • En eso estamos Mariano. Que estos artículos os sean de utilidad, para que no tengáis problemas en vuestras webs. Además esto es como el tema de las vacunas, y la inmunidad colectiva. Cuantas más webs seguras haya, y sin malware, menos elementos hay atacando a las demás.
      Un abrazo.

  19. ¡Estupenda guía sobre seguridad Javier!

    Esta claro que para mejorar la seguridad no basta con poner una contraseña fuerte y aplicar una serie de medidas dentro de wordpress si luego fuera de él no tomas ninguna medida.
    Que me he encontrado con gente que me decía:
    – “Yo no uso antivirus que así me va mas rápido el equipo.”
    – “Facepalm”

    Probaré a usar un gestor de contraseñas a ver que tal.

    Este artículo me ha recordado a un profesor que tuve que siempre decía: “La seguridad no existe”.

    Un saludo!

    • ¡La seguridad no existe en nada!
      Todo puede suceder, pero esta en nuestras manos tomar las desiciones correctas para ayudar a que el destino nos sea lo más favorable posible. La seguridad es algo que se compone de distintos factores, y nunca podemos dejar de lado una faceta, pues se nos desmonta el chiringuito.
      Un abrazo.

  20. Que grande Javier!

    Desde que comencé en el blogging uso LastPass pero ahora con lo que comentas es posible que realice un cambio. ¿Sabes si es posible exportas las contraseñas de uno a otro de los programas que has comentado?

    Mi mayor problema es las conexiones públicas, ahora que voy a estar viajando me va a ser prácticamente imposible no utilizarlas de vez en cuando para abrir ciertas aplicaciones, intentaré mantener alejado WP pero está complicado la verdad.

    Mil gracias por la información, de 10!

    Un abrazo!

    • Hola Antonio. LastPass va bien, pero no me termino de convencer, y además siempre huyo de algo que no me sea sencillo de recuperar o mantener yo.
      Sobre exportarlas, creo que otros programas, suelen tener una opción de importación de otros gestores famosos, o incluso puede que LastPass te deje exportarlas de nuevo al navegador.
      Sobre el tema de wifi públicas, te aconsejo instalar entonces aunque sea SSL para el admin, y de ese modo esa comunicación ira cifrada, y no tendrás problemas. Imprescindible para bloggers viajeros.
      Un abrazo.

  21. Muy buen post, muchas gracias por los recursos y consejos, he descubierto unas programas utiles y consejos valiosos para mantener mi web segura.
    Un saludo.

  22. Grande Javier. La verdad que desde hacía mucho tiempo venía leyendo este tipo de artículos de seguridad y hasta hace relativamente poco no los puse en marcha. Ahora duermo mucho mejor.

    Para los más novatos, según lo leéis, ppnedlo en práctica en lugar de dejarlo para más adelante :).

    Un saludo

    • Gracias Jorge.
      Genial consejo el tuyo, en que más vale ir leyendo, y empezar a aplicar. Algunas son rápidas de implementar. Otras simplemente es de conciencia y evitar malas prácticas. ¡Pero nunca dejarlo para más adelante!
      Un abrazo.

  23. Qué mejor manera de empezar la semana con una gúía compacta pero no por ello corta de información. Para todos los que empezamos me parece de gran importancia tener una base sólida en materia de seguridad, algo que a veces obviamos o leemos de manera muy liviana este aspecto.

    Feliz lunes y muchas gracias!

    • Hola Hugo.
      Efectivamente se ven entradas que te hablan de una u otra cosa, pero queria crear una entrada que diera una versión global y de todo lo necesario, y mostrar que si algo falla, al final todo cae.
      Un abrazo y buena semana!

  24. Elena Cuadrado dice:

    Gracias Berto por traernos como autor invitado al crack de Javier.
    Gracias Javier, por este mega post que aunque para súper principiantes como yo nos viene grande, me aporta un amplio espectro de lo que es la seguridad y lo que implica no tener todos los frentes cubiertos.
    Gracias a ambos por aportarnos tanto de gran valor cada semana sobre este fascinante mundo.
    Tomo buena nota de los consejos y recomendaciones que dais para mí blog gestante.

    • Hola Elena, qué alegría verte por aquí.
      Aunque principiante te irán sonando cosas y otras cuando llegues a esa parte las veras sencillas. La idea del post es generar concienciación y unas buenas prácticas generales.
      Un abrazo.

  25. Muy amplio tu artículo Javier, siempre leo post de seguridad y este es el más amplio y efectivamente para principiantes porque es muy versatil y comprensible, en referencia a las contraseñas creo que ya todos somos concientes de generar una segura con números letras y simbolos y si me apuras de 30 caracteres. Saludos

    • Hola Carlos. Esa era la idea, hacer algo práctico, pues se puede hacer más, pero entramos en terrenos complejos, y la idea es tener una base solida que te quite de en medio el 95% de los ataques. Además habéis visto cosas que muchos desconocen.
      Y lo de las contraseñas todavía veo malas prácticas pero poco a poco se van extendiendo las buenas costumbres.
      Un abrazo.

  26. ¡Fantástico Javier!
    Después de la noche de halloween, un buen artículo de seguridad para evitar sustos. jaja.
    Muy buen mega artículo que lo deja todo muy clarito, incluso para los que menos sabemos. Había cosas que no sabía. Por ejemplo, lo de basureo no lo había escuchado nunca.
    ¡Ah! incluso el famoso Chema Alonso ha reconocido más de una vez que tiene miedo a que lo hackeen, así que si hasta él tiene miedo, el resto… como deberíamos estar. jaja.
    ¡Enhorabuena por el artículo!

    • Yo estoy de acuerdo en que no hay nadie a salvo. Incluso Chema Alonso si van a por el, cae. Pero precisamente el hacker que lo consiga no será dañino, lo hace por el reto.
      Me alegro sea útil.
      Un abrazo fernando.

Deja un comentario

Para ello, por favor, sigue estas pautas, por respeto a nuestra comunidad (y a nosotros):

  • Usa tu nombre personal, ni nombres inventados, ni el de tu web, ni el de tu empresa.
  • Cuida la redacción: separa párrafos y no escribas en mayúsculas (equivale a gritar).
  • No dejes enlaces a tu web en el comentario, dispones del campo "sitio web" para ello.
  • Eliminaremos comentarios con insultos, ofensivos o con lenguaje soez.

*

 

Rellena el formulario y accede a nuestro training rápido de pro-blogging

Aprenderás paso a paso y desde cero cómo usar las mejores técnicas, trucos y secretos de los top bloggers para dar el salto al siguiente nivel

Y todo 100% gratis :)