WordPress, la herramienta para la gestión de contenidos más usada, también es la más atacada, y aunque es robusta y segura, podemos mejorar su protección y seguridad aplicando estos 9 sencillos pasos.
Según los datos más recientes de W3Tech (consultado el 3 de noviembre de 2020), WordPress está presente en el 38,8% de los sitios de internet y cuenta con una cuota de mercado del 63,6%. Este hecho, también tiene como consecuencia que los amigos de lo ajeno pongan de manera mayoritaria su atención en esta herramienta, siendo la que más ataques sufre dentro del software para la gestión de contenidos.
WordPress es una herramienta robusta y segura, y la gran mayoría de vulnerabilidades son detectadas antes de que estas puedan ser explotadas. Pero como ocurre en los Sistemas para la Gestión de Contenidos (CMS), herramientas modulables y escalables, una gran mayoría de funcionalidades están desarrollados por terceros que no siempre actualizan o cuidan lo suficiente la seguridad de sus plugins o complementos. La gran mayoría de brechas de seguridad que se producen en sitios gestionados con WordPress se dan a través de plugins o temas desarrollados por terceros o por una falta de mantenimiento del core.
Conociendo estos aspectos, a continuación os vamos a detallar diez puntos con los cuales podemos mejorar la seguridad de nuestra instalación de WordPress para ponérselo un poco más difícil a los posibles atacantes de nuestra herramienta.
Cuida la seguridad de tu equipo
Muchas veces el sistema atacado no es nuestro servidor, si no el equipo con el que nos conectamos al mismo, y por lo tanto, a nuestra instalación de WordPress. Mantener nuestro equipo limpio y actualizado, es decir, libre malware o troyanos que puedan interceptar la información que gestionemos con el equipo, es una tarea esencial para mantener la seguridad de nuestro sitio.
La calidad del hosting sí importa
Cuando contratamos un alojamiento para nuestra instalación de WordPress, lo primero que nos fijamos es en el precio. Pero también debemos prestar atención a otras características, como puede ser la calidad del soporte técnico o la realización de copias de seguridad automáticas.
Sistemas de gestión de permisos fáciles de usar, panel de administración o disponibilidad de instaladores puedes ser otros aspectos a los que debemos prestar atención antes de contratar nuestra empresa de hosting.
Actualiza, actualiza y actualiza
Lo hemos puesto tres veces para resaltar la importancia que tiene mantener nuestra instalación, los plugins y temas, actualizados. Una gran mayoría de las brechas de seguridad que se producen en los sitios de internet tienen como origen una falta de mantenimiento de los mismos.
WordPress dispone de un sistema de actualizaciones automáticas que mantiene nuestra instalación a con las últimas versiones menores y las actualizaciones de seguridad. Esta es una funcionalidad que debemos mantener activada para preservar la seguridad de nuestro sitio.
Por lo general, los desarrolladores de los plugins para WordPress corrigen de manera rápida cualquier problema de seguridad que es detectado, por lo que actualizar estos complementos, además de proporcionarnos nuevas y mejores funcionalidades, también nos ayuda a mantener nuestro sitio seguro.
Desinstala todo aquello que no utilices
Imagina que tienes un armario del cual nunca tiras la ropa que dejas de utilizar. Tu armario se convertirá en un espacio inutilizable y poco funcional. Pues lo mismo pasa con tu instalación de WordPress.
Tener instalados plugins o temas que no utilizamos, además de emplear recursos que pueden resultar valiosísimos, pueden ser verdaderos problemas de seguridad para nuestra instalación, ya que solemos descuidar el mantenimiento de todo aquello que no utilizamos.
Por lo tanto, la mejor manera de prevenir es deshacernos de todo aquello que no utilicemos. Si en algún momento decidimos volver a utilizarlos, sólo debemos volver a instalarlo.
El usuario admin ya no está de moda
El acceso a nuestro sitio se realiza mediante el par usuario - contraseña. La mayoría de ataques que se realizan contra cualquier herramienta web suele de ser de fuerza bruta a partir de diccionarios. Es decir, bombardean nuestro sistema de acceso con usuarios y contraseñas que son recuperados de grandes bases de datos que han sido creadas a partir de hackeos a otros sitios o bases de datos. También se emplean las combinaciones mas empleadas.
El primer usuario que van a probar va a ser "admin", por lo que si lo hemos utilizado como usuario principal les estaremos haciendo la mitad del trabajo. A veces la seguridad no empieza con poner rejas, si no en no dejar la ventana abierta.
Protege tu login
Como hemos comentado anteriormente, la mayoría de intentos por romper la seguridad de nuestra instalación se hace por fuerza bruta. Para prevenir este tipo de ataques lo mejor es utilizar algún plugin que limite el número de veces que una determinada IP puede intentar acceder a nuestro sitio.
Pero no son los únicos mecanismo de protección. La utilización de CAPCHAs o sistema de autorización de 2 pasos también son medios muy útiles para proteger nuestra instalación contra posibles ataques.
Mejor oculta tu versión de WordPress
Muchas de las vulnerabilidades que son detectadas son específicas, es decir, se dan en determinadas versiones de nuestra herramienta. Por defecto, nuestra instalación de WordPress informa qué versión de la misma estamos empleando, lo cual se hace para que las crawlers lo puedan conocer y así realizar, por ejemplo, estadísticas como las que realiza W3Tech y que ya hemos comentado.
Pero esta información puede ser empleada por un posible atacante para realizar determinados ataques que se saben son aplicables a dicha versión de nuestra instalación. Por lo tanto, si no hacemos pública la versión que estamos utilizando, ya les estamos vedando una información que les puede resultar de extrema utilidad a los posibles atacantes.
Para poder ocultar esta información sólo debemos añadir el siguiente código al archivo functions.php de nuestro tema principal o tema hijo en el caso de que lo estemos empleando:
remove_action(‘wp_head’, ‘wp_generator’);
Deshabilita el fichero XMLRPC
El protocolo XMLRPC, precursor del actual SOAP desarrollado por Microsoft, utiliza XML para estructurar datos y compartirlos a través de HTTP. WordPress emplea este protocolo a modo de API para interactuar con aplicaciones o servicios externos.
Este protocolo está gestionado por el archivo XMLRPC.php que podemos encontrar en la raíz de nuestra instalación. Cuando nos queremos comunicar con nuestro sitio empleando este protocolo lo que hacemos es enviar peticioines HTTP mediante POST a este archivo.
Pero uno de los inconvenientes que tienen este tipo de protocolos es que son una puerta que tenemos hacia el interior de nuestra herramienta y puede ser explotada con relativa facilidad. Por lo tanto, a no ser que la estemos empleando para algún fin específico, lo mejor es dejar bien cerrada dicha puerta. Lo podemos hacer de dos maneras:
1) Añadiendo la siguiente línea de código a nuestro function.php.
add_filter(‘xmlrpc_enabled’, ‘__return_false’);
2) Quitando todos los permisos al archivo. Si estamos en algún sistema Linux esto lo podremos hacer con el comando chmod 000 <nombre_archivo>, o bien empleando el software de gestión de nuestro servidor (por ejemplo CPanel).
Instala plugins y temas sólo de repositorios oficiales o fuentes confiables
No es una buena idea instalar software en nuestro servidor desde sitios o servicios de los que no sepamos o no podamos comprobar su reputación. Lo mejor es descargarnos cualquier plugin o tema desde los repositorios oficiales de WordPress. Incluso aquellos complementos pro que son de pago disponen de versiones gratis en el repositorios que luego podremos actualizar una vez tengamos el código de activación con las nuevas funcionalidades.
Esto no implica que todo lo que exista fuera de los repositorios sea malo o peligroso, pero por norma general, éstos suelen ser de reconocido prestigio y podemos comprobar su solvencia de una manera sencilla utilizando un buscador o visitando algunos foros.
Asegura el archivo wp-config.php
El archivo wp-config.php contiene información sensible de nuestra instalación, como son los datos de conexión a la base de datos entre otros. Por este motivo,no es mala idea denegar cualquier acceso mediante HTTP a este archivo, pudiendo sólo modificar sus valores mediante otros protocolos.
Para conseguir ésto sólo deberemos añadir el siguiente código al archivo .htaccess de la raíz de nuestra instalación:
<files wp-config.php>
order allow,deny
deny from all
</files>
Como puedes ver, 10 sencillos pasos que todos podemos seguir y hacer nuestro sitio realizado con WordPress más seguro si cabe. ¿Se nos ha olvidado algún punto que quieras comentarnos? No lo dudes y déjanos un comentario para compartirlo con nosotros.
Añadir nuevo comentario