7 febrero, 2019
Muchos propietarios de sitios web se quejan de la seguridad de WordPress. Pues afirman que al ser un sistema de código abierto es vulnerable a todo tipo de ataques. ¿Es eso un hecho? Respuesta: NO. Lo cierto es que wordpress es uno de los gestores de contenido mas completos del mercado, tanto así, que mas del 37% de los sitios web a nivel global están creados con wordpress.
¿Por qué hay tantos sitios web en WordPress Hackeado? La respuesta es muy sencilla, por culpa del usuario o administrador del sitio web. Hay algunas responsabilidades que hay que tener en cuenta como propietario de un sitio web. Entonces, la pregunta clave es, ¿Qué hacer para salvar tu sitio de ser hackeado?
Hoy respondemos esa pregunta, pues tenemos la intención de discutir unos cuantos trucos sencillos que pueden ayudar a proteger tu sitio web en WordPress. Después de la aplicación de estas tácticas y el seguimiento con los controles de seguridad que especificaremos, tu estaras asegurando tu sitio web de wordpress para siempre.
Contenido
Todo el mundo conoce la URL de la página de inicio de sesión de WordPress. Al back-end de la página web se accede a partir de ahí, y esa es la razón por la cual los spamer utilizan métodos de fuerza bruta para acceder. Sólo tiene que añadir /wp-login.php o /wp-admin/al final del nombre de dominio y listo. Y si este es tu caso, es porque tu sitio web es completamente inseguro, pero tranquilo en este articulo aprenderás como optimizar la seguridad de tu wordpress de forma muy sencilla.
Para solucionar este «pequeño» GRAN problema, es personalizar la URL de la página de inicio de sesión e incluso la interacción de la página. Es lo primero que se tiene que asegurar al momento de publicar una página web.
Aquí están algunas sugerencias para la seguridad de la página de inicio de sesión de WordPress:
Una característica de bloqueo de intentos de acceso fallidos puede resolver el gran problema de los continuos intentos de fuerza bruta. Siempre que hay un intento de hacking con contraseñas erróneas repetitivas, el sitio queda bloqueado, y recibirás notificaciones de esta actividad no autorizada.
En Sistemasnica hemos descubrí que el iThemes Security es sin duda uno de los mejores plugins para wordpress en su categoría. El plugin tiene mucho que ofrecer al respecto. Junto con más de 30 otras medidas de seguridad impresionante, se puede especificar un cierto número de intentos de conexión fallidos para que el plugin pueda bloquear la IP del atacante.
La introducción de un módulo de autenticación de dos factores (2FA) en la página de inicio de sesión es otra buena medida de seguridad. En este caso, el usuario proporciona datos de acceso para dos componentes diferentes. El propietario del sitio web decide lo que los dos son. Puede ser una contraseña habitual seguido de una pregunta secreta, un código secreto, un conjunto de caracteres, o más popular, la aplicación Google Authenticator, que envía un código secreto para su teléfono. De esta manera, sólo la persona con el teléfono (tu ) puede iniciar sesión en su sitio.
Por defecto, tienes que introducir tu nombre de usuario para iniciar sesión en WordPress. El uso de un ID de correo electrónico en lugar de un nombre de usuario es un método más seguro. Las razones son bastante obvias. Los nombres de usuario son fáciles de predecir, mientras identificadores de correo electrónico no lo son. Además, cualquier cuenta de usuario de WordPress se crea con una única dirección de correo electrónico, por lo que es un identificador válido para iniciar la sesión.
Varios plugins de seguridad te permiten configurar las páginas de inicio de sesión para que todos los usuarios deben utilizar sus direcciones de correo electrónico para iniciar sesión.
Cambiar la URL de inicio de sesión es algo muy fácil de hacer. Por defecto, la página de inicio de sesión de WordPress se puede acceder fácilmente a través de wp-login.php o wp-admin añadido a la URL principal del sitio.
Cuando los hackers conocen la URL directa de la página de inicio de sesión, inician un ataque de fuerza bruta, lo cual es muy facil para ellos, pues dipones de bases de datos gigantes con variaciones de nombres de usuarios, contraseñas, correos, etc, con millones de combinaciones.
En este punto, ya hemos restringido los intentos de inicio de sesión de usuario y cambiado los nombres de usuario por los ID de correo electrónico. Ahora podemos reemplazar la URL de inicio de sesión y deshacerse del 99% de los ataques de fuerza bruta directos.
Este pequeño truco restringe que una entidad no autorizada acceda a la página de inicio de sesión. Sólo alguien con la URL exacta puede hacerlo. Una vez más, la iThemes Seguridad puede ayudarnos a cambiar las direcciones URL de inicio de sesión:
Mejorar la fuerza mediante la adición de letras mayúsculas y minúsculas, números y caracteres especiales. Muchas personas optan por las frases de paso largo, ya que estos son casi imposibles para los piratas informáticos de predecir. El problema es que mas del 80% de las personas acaba olvidando dicha contraseña, pero tranquilo, tambien tenemos solucion para eso.
LastPass es una de las maneras más fáciles de tener siempre las contraseñas a mano. No sólo va a generar contraseñas seguras para usted, también luego las almacenara en el navegador, utilizando un add-on, lo que le ahorrará la molestia de tener que recordarlos.
La primera parte se trataba de asegurar por todos los medios el inicio de sision, ahora aseguraremos la parte interna.
Para un hacker, la parte más intrigante de un sitio web es el tablero de administración, que es de hecho la parte más protegida de todas. Por lo tanto, atacar la parte más fuerte es el verdadero reto. Si se realiza con éxito, el hacker obtendrá una victoria moral y el acceso para realizar mucho daño.
Esto es lo que podemos hacer para garantizar la seguridad de la administración del WordPress:
El wp-admin es un directorio y es el corazón de cualquier sitio web de WordPress. Por lo tanto, si esta parte de tu sitio consigue ser violada, entonces todo el sitio puede ser dañado.
Una posible manera de prevenir esto es proteger con contraseña la carpeta wp-admin. Con esta medida de seguridad, el propietario del sitio web puede acceder al panel de control mediante el uso de dos contraseñas. Uno protege la página de inicio de sesión, y el otro asegura el área de administración de WordPress.
Para esto utilizaremos el plugin AskApache Password Protect para asegurar el área de administración, el cual genera automáticamente un archivo Htpasswd, cifra la contraseña y configura los permisos de archivos seguros correctas.
La implementación de un certificado SSL (Secure Socket Layer) es una decisión inteligente para asegurar el panel de administración. SSL garantiza la transferencia segura de datos entre el navegador del usuario y el servidor, lo que hace difícil para los hackers romper la conexión o falsificar la información.
Obtener un certificado SSL para su sitio web WordPress es simple. Tu puedes comprar uno en una empresa de terceros o comprobar si tu empresa de alojamiento ofrece una gratis. En sistemasnica ofrecemos servicios de alojamiento web con certificados SSL completamente gratis, a continuación una imagen de donde activar el SSL.
Si ejecutas un blog de WordPress, o más bien un blog de varios autores, entonces necesitas hacer frente a varias personas que acceden al panel de administración. Esto podría hacer que tu sitio web sea más vulnerable a las amenazas de seguridad.
Para resolver esto utilizaremos el plugin Force Strong Passwords, si quieres asegurar que todos los usuarios utilicen contraseñas seguras. Esto es sólo una medida de precaución, pero es mejor que tener varios usuarios con contraseñas débiles.
Durante la instalación de WordPress, nunca se debe elegir la opción “admin” como nombre de usuario para la cuenta de administrador principal. Tal nombre de usuario es fácil de adivinar es accesible para los hackers. Todo lo que necesitan es averiguar la contraseña, entonces todo el sitio se pone en las manos equivocadas.
Nuevamente el plugin Itheme Security puede acabar con los intentos de inicio de sesion, bloqueando automaticamente a todos los que intentan iniciar sesion con el usuario admin.
Si quieres una mayor seguridad, monitorear los cambios en los archivos de tu sitio web es una idea perfecta, pues si en algún momento llegaran a hackear tu sitio web, te darian cuenta de forma inmediata, lo cual te dara tiempo de limpiar y bloquear cualquier amenaza antes que sea muy tarde. Esto es como cuando estamos enfermos, si nos tratamos a tiempo, todo tiene cura, para esto también nos podemos apoyar nuevamente del plugin Itheme Security.
Todos los datos y la información de tu sitio se almacena en la base de datos. El cuidado es crucial. Aquí hay algunas cosas que puedes hacer para que sea más seguro:
Si alguna vez se has instalado WordPress entonces estaras familiarizado con el wp- de la tabla que es utilizado por la base de datos de WordPress. La recomendación es cambiar ese prefijo por algo único..
Al utilizar el prefijo por defecto haces que tu base de datos sea propensa a ataques de inyección SQL. Este tipo de ataques se pueden prevenir mediante el cambio de wp- a algún otro término.
Si ya has instalado tu sitio web WordPress con el prefijo predeterminado, entonces se puede usar un par de plugins para cambiarlo. En nuestro caso seguiremos utilizando y recomendando el plugin Ithemes Security ayudara a hacer el trabajo con sólo un clic de un botón. (Asegúrese de realizar copias de seguridad del sitio antes de hacer cambios en la base de datos).
No importa qué tan seguro sea tu sitio web WordPress, siempre hay espacio para mejorar. Pero al final del día, manteniendo una copia de seguridad fuera del sitio en algún lugar es quizás el mejor antídoto pase lo que pase.
Si tienes una copia de seguridad, puedes restaurar el sitio web de WordPress a un estado de trabajo en cualquier momento que desees. Si estás buscando una solución de alta calidad, entonces te recomendamos VaultPress por Automattic, que es grande. En Sistemasnica los configuramos de forma que crea copias de seguridad todas las semanas. Y si algo malo sucede «nunca», podemos restaurar fácilmente el sitio con sólo un clic.
Sabemos que algunos sitios web pueden ser muy grandes y generar copias de seguridad puede ser complicado, en estos casos es recomendable configurar la copia de seguridad para que se genere en horarios en los que las visitas del sitio web es minimo, eliminar las copias de seguridad después que una nueva copia se crea para no ocupar tanto espacio en el disco. Dicho esto, me gustaría recomendar copias de seguridad semanales o mensuales para la mayoría de las organizaciones, empresas o webs personales.
Una contraseña segura para el usuario principal de base de datos es una necesidad ya que esta contraseña es la que WordPress utiliza para acceder a la base de datos.
Como siempre, hay que utilizar mayúsculas, minúsculas, números y caracteres especiales para la contraseña. Las palabras de paso son excelentes. Una vez más recomendamos LastPass para la generación de contraseña aleatoria y almacenamiento. Una herramienta gratis y rápida para hacer contraseñas seguras es passwordsgenerator.net
Cuando se está ejecutando WordPress con varios autores, es esencial entender qué tipo de actividad realiza cada usuario. Sus escritores y colaboradores podrían estar cambiando las contraseñas, pero hay otras cosas que no queremos que suceda. Por ejemplo, cambios de tema y widgets, evidentemente, sólo se reservan para los administradores. Cuando miras el registro de auditoría eres capaz de asegurarte de que tus administradores y colaboradores no están tratando de cambiar algo en tu sitio sin aprobación.
Para esto utilizaremos el plugin WP Security Audit Log, proporciona una lista completa de las actividades, junto con las notificaciones de correo electrónico e informes. En su forma más simple, el registro de auditoría podría ayudar a ver que un escritor está teniendo problemas para ingresar. Pero el plugin también podría revelar la actividad maliciosa de una de sus usuarios.
Casi todas las empresas de alojamiento pretenden ofrecer un entorno optimizado para WordPress, pero todavía puedes ir un paso más allá:
El archivo wp-config.php contiene información crucial acerca de la instalación de WordPress, y es el archivo más importante en el directorio raíz de tu sitio. La protección de este archivo significa asegurar el núcleo de tu blog WordPress.
Esta táctica hace las cosas más difíciles para los hackers poder violar la seguridad de tu sitio, ya que el wp-config.php se convierte en inaccesible para ellos.
El proceso de protección es muy fácil. Simplemente toma tu wp-config.php y moverlo a un nivel mayor que el directorio raíz.
Ahora, la pregunta es, si lo guarda en otro lugar, ¿cómo funcionara la conexión de wordpress con el hosting? En la arquitectura actual de WordPress, la configuración del archivol wp-config se establece en el más alto en la lista de prioridades. Así que, incluso si se almacena en una carpeta superior al directorio raíz, WordPress puede todavía encontrarlo.
Si un usuario tiene acceso administrativo a su panel de WordPress entonces podran editar los archivos que forman parte de la instalación de WordPress. Esto incluye todos los plugins y temas.
No permitir la edición de archivos es recomendable, nadie será capaz de modificar cualquiera de los archivos – incluso si un hacker obtiene acceso de administrador a tu panel de WordPress.
Para que esto funcione, añadir lo siguiente al archivo wp-config.php (al final):
define(‘DISALLOW_FILE_EDIT’, true);
Tener permisos equivocadas en los directorios puede ser fatal, especialmente si estás trabajando en un entorno de alojamiento compartido.
En tal caso, el cambio permisos en los archivos y directorios es una buena medida para asegurar el sitio web en el nivel de alojamiento. Configurar los permisos de directorios a “755” y los archivos a “644” proteger todo el sistema de archivos – directorios, subdirectorios y archivos individuales.
Esto se puede hacer de forma manual a través del Administrador de archivos dentro del panel de control de hosting, o a través del terminal (conectado con SSH) – utilizar el comando “chmod”.
Para más información, se puede leer acerca del correcto esquema de permisos para WordPress o instalar el plugin iThemes Security para comprobar la configuración de permisos actual.
Si creas un nuevo directorio como parte de tu sitio web y no colocas un archivo index.html en él, es posible que te sorprendas al descubrir que tus visitantes pueden obtener un listado de todo lo que hay en ese directorio.
Por ejemplo, si creas un directorio llamado “datos”, se puede ver todo en ese directorio simplemente escribiendo http://www.example.com/datos/ en tu navegador. No se necesita ninguna contraseña ni nada.
Esto se puede evitar mediante la adición de la siguiente línea de código en tu .htaccess
Options All -Indexes
Digamos que necesitamos una imagen de un paisaje X y encontramos una muy buena en un sitio web, entonces tomamos la URL de la imagen y la agregamos a nuestro sitio web, eso es HotLinking. Desde este punto de vista, podríamos pensar que no hay ningún problema de seguridad, pero es todo lo contrario, el hotlinking vuelven mas lento tu sitio web y elevan los costos del servidor, pues el alto consumo de ancho de banda y CPU se paga con dinero.
Aunque hay algunas técnicas manuales para prevenir hotlinking, el método más fácil es encontrar un plugin de seguridad para el trabajo. Por ejemplo, All In One WP Security & Firewall incluye herramientas integradas para bloquear todo el hotlinking.
Un ataque DDoS es un tipo común de ataque en contra del ancho de banda del servidor, donde el atacante utiliza múltiples programas y sistemas para sobrecargar el servidor. A pesar de que un ataque como este no pone en peligro los archivos del sitio, su objetivo es tirar su sitio web para que sea inaccesible durante un largo periodo de tiempo. Por lo general, sólo se oye acerca de los ataques DDoS cuando le pasa a las grandes empresas como GitHub o Target. Están a cargo de lo que muchos se refieren como terroristas cibernéticos, por lo que el motivo podría ser simplemente para causar estragos.
Dicho esto, no es necesario ser una compañía de millones de dolares para recibir este tipo de ataques.
Si esto te preocupa, te recomendamos suscribirse a las Sucuri o Cloudflare. Estas soluciones tienen cortafuegos de aplicación web para analizar el ancho de banda utilizado y bloquear ataques DDoS por completo.
Temas y plugins son ingredientes esenciales para cualquier sitio web de WordPress. Desafortunadamente, también pueden plantear graves amenazas a la seguridad. Vamos a ver cómo podemos asegurar sus temas de WordPress y plugins de la manera correcta:
Todo buen producto de software dispone de soporte por sus desarrolladores y se actualiza de vez en cuando. Estos cambios tienen el propósito de corregir errores y algunas veces tienen parches de seguridad vitales. WordPress y sus plugins, no es la excepción.
No actualizar de los temas y plugins puede significar un problema. Muchos hackers se basan en el simple hecho de que las personas no se molestan en actualizar sus plugins y temas. Más a menudo, esos hackers explotan los errores que ya han sido corregidos.
En cuanto a los complementos, éstos deben actualizarse manualmente a través de plugins en su tablero de instrumentos. Cuando un plugin tiene una nueva versión, se le notifica y proporciona un enlace para actualizar ahora.
Como alternativa, puedes optar por un plan de alojamiento WordPress administrado por Sistemasnica. Junto con muchas otras características y mejoras a tu seguridad, nuestro servicio de hosting ofrece actualizaciones automáticas para todos los elementos de su sitio de WordPress.
Tu actual versión de WordPress se puede encontrar muy fácilmente. Se puede ver en la parte inferior de tu tablero de administracion (pero esto no importa cuando se trata de asegurar tu sitio web de WordPress pues un hacker encontrara la versión sin necesidad de entrar al back-end).
Aquí está la cosa: si los hackers saben qué versión de WordPress tienes, es más fácil para ellos adaptar-construir el ataque perfecto. Puedes ocultar tu número de versión con casi todos los plugins de seguridad que hemos mencionado anteriormente.
Para un enfoque más manual (y de quitar también el número de versión de los canales RSS,) agregar el siguiente codigo al archivo functions.php:
function wpbeginner_remove_version() { return ''; } add_filter('the_generator', 'wpbeginner_remove_version');
Si eres un principiante entonces eso era mucho para tomar en consideración. Sin embargo, todo lo que hemos mencionado en este artículo es un paso en la dirección correcta. Cuanto más te preocupes por la seguridad de tu sitio de WordPress, más difícil se hace para un hacker vulnerar la pagina web.
Si tienes algunas preguntas sobre cómo proteger el sitio web de WordPress, contactanos y vamos a responder a ellos!