¿Utilizas Wordpress? ¿Sabes como securizarlo? Hemos recopilado para ti una serie de tips a modo de guía para que puedas con facilidad mantener la seguridad en Wordpress y echarte a dormir. Aunque dedicamos más tiempo y empeño en el diseño web que en su seguridad, mantener un site ibre de atacantes, vulnerabilidades y spam es imprescindible si no queremos perder tiempo innecesario en recuperaciones o trabajo tirado a la basura. ¡Vamos con nuestros consejos!
Contratar un hosting de garantías
Un hosting Wordpress de calidad es el primer paso para implementar Wordpress detrás de una infraestructura seria. Tener un alojamiento web no solo nos protege con distintas capas de seguridad sino que ofrece herramientas para ayudarnos a mantener nuestra web más segura con facilidad. Además, un buen hosting te ofrecerá aplicaciones adicionales para estar libre de malware.
Reducir el número de administradores
Dar permisos innecesarios no es una buena práctica, así que este consejo es tan simple como efectivo: a menor número de permisos, menor riesgo. Los roles y permisos en Wordpress no son excesivamente granulares. Por tanto, si quieres realizar una mejor gestión de ellos puedes instalar un plugin como User Roles & Capabilities. Este módulo te permite crear nuevos perfiles de usuario con la capacidades justas para cada necesidad.
Si trabajas con colaboradores y otorgas roles de administrador, es recomendable revocarlos una vez que el trabajo ha terminado. También puedes usar el módulo anterior para hacer una gestión eficiente de la seguridad si no es estrictamente necesario ser un admin.
Utilizar contraseñas complejas
Aunque parezca una banalidad, es la estrategia más efectiva. Tendemos a repetir contraseñas en distintas plataformas, usar otras fáciles de recordar y en general no complicarnos mucho la vida. Disponer de un usuario de administrador en cualquier sistema es una responsabilidad importante y la contraseña ha de ir acorde a los riesgos que una brecha de seguridad conlleva. También es vital fijar una política de complejidad para otros usuarios: a veces la puerta de entrada no está en nosotros mismos sino en otros clientes que hacen uso de nuestros servicios.
Cuando creamos un nuevo perfil en Wordpress, disponemos de la posibilidad de que dicho usuario sea informado vía email. De esta forma podrá cambiar su contraseña sin recurrir a envíos de información sensible por correo.
Si no estás usando una solución de correo encriptado, te recomendamos que no compartas las contraseñas en texto plano por este canal. Puedes usar una solución como Password Pusher para hacerlo de forma segura.
Usar autenticación de doble factor
Es una gran solución. La autenticación de doble factor en Wordpress aumenta la seguridad en Wordpress de forma considerable. Esta política debe aplicarse a cualquier perfil de usuario que tenga los permisos necesarios como para poner en riesgo nuestra infraestructura.
Para configurar 2FA en Wordpress necesitas dos partes: instalar un plugin para habilitarlo en la web y disponer por ejemplo en tu pc o móvil de una app que nos facilite los códigos de acceso. En el primer caso puedes instalar el plugin WP 2FA – Two-factor authentication u otro similar. Una vez habilitado, deberás usar una app tipo 2FAS o Google Authenticator que genere estos códigos de autenticación una vez dada de alta la cuenta y “enlazada”. ¡Ahora si!, primero la password y luego el código.
Cambiar la URL de login de WordPress
Por defecto la url de de administración de Wordpress es /wp-admin. Como muchos de los ataques son realizados por bots, es muy fácil encontrarla para lanzar estos intentos de romper nuestra seguridad. Wordpress no permite nativamente cambiar esta URL, pero puedes usar un módulo ligero como WPS Hide Login para redireccionar tu acceso en una ruta diferente.
Instalar solo software confiable
Nuestro CMS es un proyecto abierto y, por tanto, cualquier desarrollador puede realizar sus aportaciones al ecosistema. A la hora de instalar un módulo te recomendamos:
- Comprobar que ha sido testeado y es compatible con la versión actual de WP.
- Chequear que tiene un buen rating en el listado oficial de plugins de Wordpress.
- Verificar que el módulo posee un canal de soporte en los foros de Wordpress.
- Asegurarse de que el módulo tiene un control de versiones y es actualizado con frecuencia.
Mantener plugins, theme y WP actualizados
Se trata de otro de los puntos core de nuestra pequeña guía. Tenemos la falsa sensación de que una vez que hemos terminado un desarrollo web ya hemos cumplido. No es así. Las webs son activos vivos que han de mantenerse, casi como cualquier “cosa” que tenemos en nuestras vidas.
Una pequeña inversión en mantenimiento y seguridad se convierte en un gran retorno económico.
Por tanto, los plugins, la plantilla de base de Worpress y la propia plataforma ha de actualizarse frecuentemente. Estos updates no solo incluyen nuevas funcionalidades que hacen nuestra web más bonita; lo más esencial de estas acciones son las correcciones de bugs y vulnerabilidades que son potencialmente explotables por hackers o curiosos. Nuestras políticas son:
- Asegúrate de tener un backup antes de realizar grandes cambios.
- Instala software licenciado para recibir actualizaciones.
- Comprueba la compatibilidad de la actualización con tu versión actual de Wordpress.
- Ten cuidado con los major updates. Son nuevas versiones que aportan grandes cambios en el software instalado.
- Si usas Woocommerce, muchas veces requiere una actualización manual de la base de datos.
- Huye de las actualizaciones automáticas.
Configurar un Web Application Firewall (WAF)
Un Endpoint Firewall es un cortafuegos instalado en la última capa de la infraestructura para proteger la web. Este tipo de soluciones suelen venir como parte de una suite o producto más completo que ofrece otras funcionalidades. Por ejemplo, en el caso de Wordfence, se trata de un firewall que además incorpora control de acceso, escaneo de malware, autenticación de doble factor y equipo de soporte.
El caso de Siteground Security es similar. El hosting del mismo nombre se ha especializado en realizar módulos integrales de calidad que evitan el uso de multitud de complementos para acometer todas las funciones alrededor de un área, como la seguridad o el rendimiento.
Asegurar el archivo wp-config.php
Un elemento sensible de la seguridad en Wordpress en es archivo wp-config.php. Dicho elemento contiene información importante sobre la configuración de nuestro sistema, entre ella, la contraseña de la conexión a la base de datos. La documentación oficial de Wordpress dice que es posible mover a un nivel superior el archivo con el fin de ganar en seguridad. Nuestra recomendación es securizarlo a través del archivo .htaccess:
# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>
Deshablitar scripts y eliminar plugins no activos
Los plugins inactivos son una de las causas más frecuentes de accesos indebidos en web. Si piensas que un plugin no te da más servicio, desactiva y borra. En el caso de que se trate de un módulo que usas en ocasiones puntuales, te recomendamos que lo mantengas al día aunque esté inhabilitado.
Por otro lado, deshabilitar scripts innecesarios a nivel de página es otra buena práctica. ¿Por qué ejecutar código en una parte de nuestro site si no se usa? Además de mantener Wordpress seguro, esto ayudará en el rendimiento general y ayudará a mejorar el posicionamiento SEO.
Bloquear ataques de fuerza bruta
En ciberseguridad, se define un ataque de fuerza bruta como el intento de recuperar una contraseña probando todas las combinaciones posibles hasta encontrar aquella que permite acceder.
Este tipo de ataques no solo ponen en riesgo la seguridad en Wordpress sino que además puede desencadenar un problema de rendimiento en nuestra web. Usar un software como Jetpack nos previene de este tipo de intentos.
Reducir el spam
Una gran parte de email malintencionados provienen de spam y envíos masivos que intentan aprovechar previa acción una vulnerabilidad existente. Para mantener una web libre de spam debes:
- Realizar una configuración óptima de spam a nivel de servidor. Esto implica la generación de listas blancas, negras, usar el aprendizaje de mails y los bloqueadores.
- Proteger los formularios en el frontend. Para ello, puedes usar integraciones con reCaptcha v3 invisible o un honeypot.
- Dar de alta los registros DMARC, SPF y DKIM en tu DNS.
Crear copias de seguridad diarias
Si todo lo anterior fue mal y han sido más listos que tú, no te olvides de tener una buena política de backup para recuperar tu web lo antes posible.
Y hasta aquí nuestra guía de seguridad en Wordpress. ¿Dudas? ¡Nos vemos pronto!
Open 10 - 19h.