Medidas de seguridad en WordPress que deberías conocer para mantener tu web protegida

A la hora de construir tu página web no vale con realizarla y ya está, un tema de bastante peso es el de la seguridad de la misma. Ya que sin esta seguridad todo tu proyecto se puede venir abajo debido a fallos en la seguridad e intrusiones no deseadas.

De serie un WordPress viene muy desprotegido y solo depende de ti el cambiar eso.

Con las siguientes medidas de seguridad tu web no será infranqueable ya que infranqueable hoy por hoy no hay nada, pero si elevaremos el nivel de seguridad para no ponérselo tan fácil a los curiosos y que un usuario medio con conocimientos sobre WordPress no pueda acceder fácilmente.

 

Actualizaciones

Las actualizaciones que realizas de tu WordPress, temas y plugins no solo son mejoras de las prestaciones de la aplicación sino que también corrigen vulnerabilidades y defectos que tienen las aplicaciones en sus versiones más antiguas.

Normalmente además de lo anterior mejoran el rendimiento de la aplicación así que sería lo suyo mantener todo lo que tengamos instalado bien actualizado.

 

Copias de seguridad

Normalmente de esto se encarga de manera automática tu proveedor de hosting, pero no todos lo hacen, así que para curarnos en salud lo mejor sería realizar copias de seguridad de todos los archivos de la web y de la base de datos. Si no tienes conocimientos técnicos hay plugins que lo harán por ti. Como BackWPup y UpdraftPlus, siguiendo el siguiente enlace podrás encontrar algunos de los más comunes:

https://es.wordpress.org/plugins/search/simple-backup/

 

Contraseñas

Un fallo típico que se suele cometer es en las contraseñas, ya que estas suelen ser cortas y demasiado predecibles. No es necesario cambiarlas con regularidad, pero sería necesario que tuvieran cierta longitud, mayúsculas, minúsculas y caracteres alfanuméricos, un ejemplo de una contraseña aceptable sería “Logan_@#12”.

Nunca deben estar relacionadas con el nombre de la web por razones obvias.

 

Hosting

Con el hosting no podemos escatimar, ya que es donde alojamos la web y su base de datos. Si queremos una web segura debemos empezar por los cimientos y estos son el hosting.

Si contratamos un alojamiento de pésima calidad es probable que sus medidas de seguridad sean de pésima calidad.

Así que si tienes dudas sobre qué tipo hosting contratar puedes pasarte por aquí para resolver tus dudas.

 

HTTPS / SSL

El protocolo Hypertext Transfer Protocol es un protocolo de transferencia de datos a través de Internet. Añadiéndole la (S) sería Hypertext Transfer Protocol Secure. Este último protocolo te permite instalar un certificado SSL en la web. SSL viene a significar Secure Sockets Layer, que viene a decir capa de puertos seguros.

Todo esto es básicamente un método que se utiliza para que los datos que viajen a través de tu web estén cifrados y la información solo sea legible para el destinatario del mensaje. En páginas web es necesario, pero lo es aún más en tiendas online y lugares donde circula dinero, tarjetas de crédito y datos bancarios.

 

Panel de administración

El acceso al panel de administración en WordPress viene por defecto en la carpeta (www.tudominio.com/wp-admin). Y esto lo sabe cualquiera que conozca WordPress que no son pocos. Con lo cual además de lo anteriormente sobre las contraseñas, se debería tener la ruta de acceso al panel de administración cambiada con respecto a la original.

Hay multitud de plugins que hacen esto como Lockdown-wp-admin, este plugin te permite elegir la URL con la cual accederás a tu panel del admin.

 

Aplicaciones con licencia original

Los plugins, temas y demás complementos que puedes instalar en tu WordPress deberán ser originales, a poder y a poder ser descargar de https://es.wordpress.org/ no quiere decir que si los descargas de la página del fabricante del plugin o del tema sean fraudulentos ni mucho menos, pero si encuentras temas o plugins premium gratuitos deberás desconfiar. Este tipo de aplicaciones gratuitas pueden venir con código malicioso integrado en ellos ya sea para espiar contraseñas, tarjetas de crédito o cualquier finalidad.

Gratis y bueno son palabras que no suelen ir juntas.

 

Elimina lo que no uses

Las aplicaciones que no estés usando y no creas que te vayan a servir en el futuro sería recomendable eliminarlas, así ahorraras espacio en el servidor, la web cargará más rápido y tendrás visualmente el panel del administrador más limpio.

 

Protección contra spam

Este tema más que peligroso que también lo puede ser en función de que correos te mandan y si te los crees y clicas en ellos, viene a ser un tema molesto por la cantidad de correos masivos que te puedan llegar de botnets, y otros profesionales del spam. Otras veces solo quieren colocar enlaces en tu blog hacia sus respectivas webs que es una de las técnicas del Black Hat Seo y su finalidad es ganar backlinks para posicionarse.

En cualquier caso es necesario instalar en los formularios de la web protección anti-spam.

Con una cuenta Gmail podéis entrar y registraros en Google recaptcha  para obtener vuestras claves y poder acoplarlas a las aplicaciones que hay en WordPress para el spam.

 

Niveles de acceso

Otro tema relacionado con la seguridad son los niveles de acceso. Ya que no siempre podemos tener al enemigo fuera. Imagina que tienes una empresa con 100 empleados y la web de la empresa la tienes montada con WordPress. No todos tendrá acceso a la web pero igual una veintena si lo necesita por el motivo que sea, entonces los niveles de acceso deberán ir acorde a su rango en la empresa o función que necesite realizar en la web. Nunca debería ser más del necesario ya que si no es necesario para que dar permisos de administrador a un empelado que acaba de entrar en la empresa y no necesita realizar ninguna tarea en la web.

WordPress cuenta con los siguientes niveles de acceso / roles de usuario:

  • Suscriptor: Éste sólo puede leerlas entradas públicas, normalmente es lo mismo que alguien que no esté suscrito ni identificado, pero simplemente se diferencia porque tiene una cuenta.
  • Colaborador: En este caso puede enviarnosentradas que nosotros decidiremos si publicar. Muy útil para ofrecer la posibilidad al usuario de participar como escritor invitado.
  • Autor:A éste ya se le permite publicar sus entradas sin que el administrador las tenga que validar. Importante saber que un autor ya puede publicar, editar y borrar sus entradas, que se verán públicamente en la web. Evidentemente, se le permite subir archivos, ya que en muchas entradas va a tener que subir imágenes.
  • Editor:Subiendo un nivel más nos encontramos con permisos de editor, que aparte de tener todas las capacidades de un autor, además también tiene la potestad de poder editar y borrar las entradas de cualquier autor. Además, también puede administrar etiquetas, categorías y comentarios. Claramente el editor también puede publicar sus propias entradas.
  • Administrador:Este es el nivel más alto. Puede hacer lo que quiera relacionado con la administración tanto del contenido como de la web en general: Editar y configurar el escritorio (la página inicial del panel de control), actualizar WordPress, temas y plugins, instalar, editar, cambiar e incluso eliminar temas y plugins, y también añadir, editar o eliminar usuarios, siempre que no sea el usuario principal de la web, es decir el usuario con el que se instaló WordPress.

 

Limita los intentos de login a tu web

Una forma de entrar a tu web es hacerlo con ataques de fuerza bruta. Estos ataques se basan en el ensayo-error típico y consisten básicamente en probar infinidad de combinaciones de usuarios y contraseñas hasta dar con la combinación buena para entrar a tu panel de administración.

Para proteger tu web de estos ataques se puede hacer uso de plugins específicos para esto, uno de ellos y que usamos en Consigue Tu Web en nuestros proyectos es Loginizer, es básicamente un plugin que te permitirá establecer el número de intentos y poner un bloque del tiempo que desees cada vez que se llegue al número máximo de intentos que has establecido previamente. Además cuenta con una blacklist que vendría a ser una lista negra donde agregar las IP  de los visitantes que tengas conocimiento de que te estén atacando. Y una whitelist lista blanca para agregar IP que si deseamos que accedan a nuestra web por ejemplo la nuestra para evitar ser bloqueados, aunque añadir las IP propias a la whitelist no sería necesario, pero es un detalle que el plugin cuente con ello.

 

Acceso desde conexiones seguras

Por último comentar que de nada sirve todo lo anterior si somos nosotros mismos los que le damos las credenciales de acceso a los malos. Esto es básicamente referido a la red a la que nos conectamos para acceder a nuestra web, que normalmente será en nuestros despachos y casas, pero alguna vez os podéis conectar desde un wifi externo sin clave, de estos que parece que estén abiertos por bondad humana. Bien pues puede que estén abiertos por bondad o puede que sea el propio hacker / cracker el que esté abriéndolo para que accedamos a nuestra web a través de su wifi y quedarse con nuestras contraseñas, usuarios y toda la información que pase por su red.

Así que a la hora de entrar a nuestra web o cualquier sitio importante para ti procura que sea desde una conexión segura.

2 comentarios en “Medidas de seguridad en WordPress que deberías conocer para mantener tu web protegida

Deja un comentario