Descuento 20% Diciembre
Plugin Optimización de Imágenes Gratuito para WordPress
Lunes, 15 Diciembre 2014 23:34

Aumenta la seguridad en WordPress, ¡protege tu inversión!

Escrito por 
CMS:  WordPress |  Versión:  Todas |  Nivel de dificultad:  Básico |  Tiempo estimado de lectura:  15 minutos


Seguridad en WordPressWordPress es un gestor de contenidos gratuito y de código abierto que actualmente es el más utilizado para sitios webs en Internet. Su arquitectura está basada en un núcleo (core) y la integración de plugins y temas que amplían su potencial y capacidades a límites insospechados.

WordPress actualmente se utiliza por más de 60 millones de sitios web, es decir un 23.3% (dato de agosto de 2013).

Su popularidad y amplio uso en todos los sectores con presencia en Internet también atraen la atención de miles de potenciales usuarios que con fines poco éticos que tratan de exponerlo y vulnerarlo para fines lucrativos, dañinos o simplemente para difundir spam.

¿Cómo es atacado WordPress?

41%
 Es atacado por vulnerabilidades no parcheadas en sus Hostings.
29%
 Es atacado por problemas de seguridad en temas no actualizados o modificados intencionadamente.
22%
 Es atacado por medio de problemas de seguridad en plugins instalados en WordPress.
8%
 Es atacado porque utiliza contraseñas débiles o fácilmente deducibles.

En el año 2012 fueron atacados más de 170.000 sitios web WordPress, y en 2013 esta cifra aumentó considerablemente llegando a superar con creces cifras anteriores en el año 2014.

¿Cuál es el coste de un sitio web WordPress atacado?

Un usuario final de este CMS puede tardar varios días en darse cuenta de que su sitio web ha sido atacado, infectado o vulnerado. Llegado ese momento es posible que las ventas de dicho sitio web se hayan visto afectadas y su reputación dañada.

El paso siguiente es que el proveedor de Hosting haya tomado las medidas oportunas para combatir el problema, ya sea de forma concreta en tu cuenta o para todo el/los servidor(es) de forma que este problema no trascienda a otras cuentas de clientes.

Si el servicio de Hosting no facilita este tipo de soporte al usuario final, este tendrá que buscar un desarrollador o empresa especializada que le ayude a restaurar o reparar su sitio web, proceso que puede durar entre horas o días, afectando a sus ventas e imagen (reputación), al tiempo que añade costes al proyecto web con los que no contaba. Esto sin mencionar los altos niveles de estrés que el usuario final acumula a través de esta desagradable experiencia.

Pensar que a ti no te puede pasar no es solución

La siguiente lista de consejos de seguridad para WordPress puede ayudarte a reducir la posibilidad de que tu sitio web WordPress se convierta en víctima de un ataque o una infección.

No utilices "admin" como nombre de usuario

Los usuarios malintencionados que intentan acceder a tu área de administración de WordPress (dahsboard) a menudo tratan de utilizar el nombre de usuario por defecto "admin" como primer punto de entrada, principalmente utilizando scripts automáticos que inyectarán este usuario y contraseñas aleatorias, normalmente basadas en diccionarios, para poder obtener acceso sin utilizar fuerza bruta.

WordPress te permite cambiar el nombre de usuario "admin" ya sea en el momento de la instalación del CMS o posteriormente utilizando algún plugin existente para realizar esta tarea o desde la base de datos. Cambiando este usuario por defecto, un ataque mediante fuerza bruta para tratar de adivinar tu nombre de usuario y contraseña para acceder a tu sitio web de WordPress será una tarea más complicada.

Utiliza una contraseña segura

Muchas personas utilizan contraseñas débiles que son fáciles de adivinar mediante el uso de software específico orientado al ataque mediante fuerza bruta. Usuarios malintencionados utilizan este software para tratar de obtener tu contraseña utilizando diccionarios de miles o millones de combinaciones o de contraseñas comunes, con tiempo suficiente y sin medidas de protección de ataques de fuerza bruta por parte del servicio de Hosting, el acceso a cuentas con contraseñas débiles (alrededor del 8% de los sitios web de WordPress son atacados y se obtiene acceso mediante este método).

WordPress tiene un indicador de la fortaleza de la contraseña que se muestra cuando se cambia la misma. Utiliza esto para garantizar la fortaleza de tu contraseña y saber si es la adecuada. Una contraseña segura es una cadena de más de 10 caracteres en los que se debería incluir una mezcla de letras mayúsculas y minúsculas, números y símbolos (alfanuméricas).

¿Te resulta difícil recordar tu contraseña de acceso a WordPress? ¡no es excusa!, existen herramientas como LastPass que te pueden ayudar a no tener que recordar contraseñas complejas o integraciones de seguridad basadas en token físico como Latch que actuarán como pestillo "digital" en los accesos al dashboard de tus instalaciones de WordPress

WordPress

Protege y bloquea el dashboard de WordPress con Latch, de Eleven Paths

Latch es un pestillo digital desarrollado por Eleven Paths que permite el cierre del acceso a sitios web (entre otros) bajo demanda y desde dispositivos móviles.

Mantener el núcleo de WordPress, los temas y plugins siempre actualizados

A medida que se detectan nuevas vulnerabilidades de seguridad, los desarrolladores de software liberan nuevas versiones para bloquearlas. Mantener el núcleo de WordPress, temas y plugins al día significa disfrutar de los últimos parches de seguridad y también de las mejoras que se hayan añadido al código.

Deberías plantearte una pauta regular (semanal) de revisión de actualizaciones para temas, plugins y el core de WordPress cuando corresponda, de forma que mantengas saneadas tus instalaciones y siempre previa copia de seguridad antes de hacer las actualizaciones, para poder volver atrás en caso de que algo va mal.

WordPress

Actualizar WordPress a la ultima versión estable

Mantener WordPress actualizado, así como los plugins y temas que tengamos instalados va a permitirnos poder disponer de un blog seguro y siempre disfrutando de las últimas mejoras incorporadas a este excelente CMS.

Comprobar regularmente el código de plugins y temas instalados de forma regular

El hecho de que no haya actualizaciones disponibles no significa que un plugin este al día, pues perfectamente podría tratarse de un plugin abandonado por el desarrollador, motivo por el cual no habría avisos de nuevas actualizaciones. Si visitas el Directorio Oficial de Plugins de WordPress podrás saber cuando tal o cual plugin recibió su última actualización y saber si debes desestimarlo en tus instalaciones.

WordPress muestra un aviso en páginas donde el plugin no se ha actualizado desde hace más de 2 años.



Si aparece este aviso en un plugin que pretendes usar en tu instalación de WordPress, será un indicador claro de que se ha abandonado su desarrollo lo que significa que nadie estará revisando y arreglando los problemas de seguridad que puedan ser detectados en dicho plugin, siendo lo más conveniente buscar una alternativa a dicho plugin estable y con actualizaciones recientes.

Mantenimiento periódico

Revisar y eliminar las cuentas de usuarios registrados no utilizadas desde hace un tiempo, los temas de WordPress y plugins desfasados o inactivos pero instalados reducirá el número de posibles problemas de seguridad, evitando agujeros de seguridad generados por plugins o temas instalados pero sin uso (nos olvidamos de actualizarlos) y contribuyendo a acelerar tu sitio web.

WordPress

Eliminar usuarios spammers o inactivos en WordPress

Elimina automáticamente registros de usuarios de spam y usuarios inactivos.

Escoge bien tu Hosting

No todos los servicios de alojamiento web son iguales, recuerda que el 41% de las instalaciones WordPress fueron atacadas debido a que se alojaban en Hostings con pocas medidas de seguridad.

Elige cuidadosamente tu proveedor de Hosting WordPress, no basta con buscar el más barato, es muy importante documentarse, consultar la opinión de otros usuarios, revisar la trayectoria profesional del proveedor de Hosting a contratar, leer las críticas antes de dar el paso de contratar un servicio donde alojar tu instalación de WordPress.

La seguridad en casa y en la oficina cuentan

Las cuestiones de seguridad en tu PC y otros dispositivos que utilices para actualizar tu sitio web WordPress pueden afectar la seguridad del sitio web alojado en tu proveedor de Hosting.

El malware que tengas alojado en tu PC y que puede grabar contraseñas de acceso de cuentas de correo electrónico, de FTP, etc., normalmente mediante "keyloggers" instalados sin tu conocimiento son la puerta de entrada "legítima" a tu Hosting y a todo lo que alojes, pudiendo afectar a otras cuentas de clientes alojados en el mismo Hosting sin la seguridad de tu proveedor no es la deseada.

Así que es importante que todos tu ordenadores y todos tus dispositivos (incluidos móviles) que utilizas esten actualizados, cuenten con medidas de protección (antivirus, anti-malware, firewall) para evitar extender tu infección a tu cuenta de Hosting.

Es importante que utilices la última versión de tu sistema operativo y del navegador web con el que habitualmente trabajes, así como que tu software antivirus esté siempre con las firmas debidamente actualizadas.

Lo gratis a veces sale caro

Evita en la medida de lo posible el uso de Temas "FREE" o gratuitos y en caso de usarlos asegúrate de descargarlos de sitios de confianza o de wordpress.org

¿Porque?. Un Tema de pago (comercial) le permite al desarrollador tener algunos ingresos y la motivación suficiente para seguir actualizandolo y mantener seguro el Tema. Los Temas gratuitos a menudo pueden contener código modificado intencionadamente, con codificación en base64, que se puede utilizar para insertar enlaces ocultos en tu sitio, u otros códigos maliciosos que pueden causar problemas que son difíciles de detectar. Está comprobado que 8 de cada 10 Temas gratuitos obtenidos de sitios de confianza no contrastada contienen código encodeado en base64 que alberga enlaces malicioso a sitios infectados con malware.

WordPress

Detectando y limpiando malware en WordPress

Este plugin busca malware y otras amenazas como virus y vulnerabilidades en la instalación de WordPress, en los plugins y Temas ayudándote a eliminarlos.

Limita los intentos de conexión fallidos al dashboard

Los ataques de fuerza bruta son la técnica habitual para intentar acceder a tu sitio web utilizando diccionarios. Limitar el número de intentos de conexión fallidos desde una única dirección IP ayuda a reducir la eficacia de estos ataques y los mitiga.

WordPress

Protegiendo WordPress con BruteProtect de Automattic

El plugin BruteProtect está diseñado para reducir la probabilidad de que un sitio de WordPress pueda ser víctima de un "ataque de fuerza bruta". Esto sucede cuando un un bot malicioso trata de entrar de forma persistente y continuada en tu cuenta de WordPress (dashboard).

Cambia los permisos de archivos y carpetas para asegurar WordPress

Es posible que hayas visto los permisos de archivos como 644 y carpetas como 755. Estos números son muy importantes, pues establecen si se pueden leer, escribir o ejecutar archivos en tu Hosting. Si los permisos de tu instalación de WordPress no son correctos puedes generar agujeros de seguridad con permisos como 777, por ejemplo.

Los clientes de Webempresa cuentan con herramientas como Stephan que les permite revisar, entre otras cuestiones, los permisos de sus archivos y carpetas corrigiéndolos de forma automática y estableciendo los correctos.

Dispón de un plan de recuperación ante incidentes

¿Tienes un plan para la recuperación de tu web en caso de ser infectada o atacada? Aunque esto no ayudará a evitar que tu sitio web sea atacado o infectado, si reducirá al mínimo el daño ocasionado y el tiempo de recuperación y reactivación del mismo.

Es importante que te programes un ciclo de copias de seguridad de su sitio web completo (incluyendo la base de datos), algo que puedes hacer desde tu Panel de Hosting (cPanel) o mediante el uso de algún plugin.

Si deseas solamente copiar tu instalación de WordPress más la base de datos en uso en un solo archivo descargable a tu PC, lo recomendable es que utilices XCloner.

Apenas son unos consejos para mantener más seguras tus instalaciones de WordPress y evitar que se vean afectadas por ataques o infecciones, con la consiguiente perdida económica que esto podría causar a tu negocio online, la reputación frente a tus clientes y el tiempo que tendrás que invertir en recuperarte a un estado anterior al problema.



¿Te ha resultado interesante este artículo?

Suscríbete para recibir consejos exclusivos para WordPress, Joomla y PrestaShop



Luis Méndez Alejo

Miembro del equipo técnico de Webempresa.
Coordinador de contenidos en el Blog y en Youtube.
Google+


Plugin Optimización de Imágenes Gratuito para WordPress