Mejorar la seguridad de un sitio hecho con WordPress
WordPress es un software de código abierto, fácil de implementar y con potentes funciones utilizado por millones de administradores de sitios web, sin embargo, esta popularidad, lo ha convertido en un objetivo atractivo para los piratas informáticos que buscan portales inseguros con el fin de explotarlos en su beneficio.
No es ningún secreto que cualquier cosa que pulule por los recovecos de Internet es vulnerable a los ataques de los villanos.
Y aunque el equipo de seguridad que hay detrás de WordPress trabaja para corregir cualquier vulnerabilidad que surja dentro del núcleo de la plataforma, existen factores externos que pueden propiciar que una página web basada en este CMS sea víctima de los desaprensivos.
La mayoría de veces, esto se debe al hecho de que tanto los administradores, como los desarrolladores de complementos, no llevan a cabo buenas prácticas de seguridad.
En el caso de un sitio de producción, un portal de WordPress pirateado puede causar graves daños a la reputación del negocio.
Los piratas informáticos pueden robar información de los clientes, como nombres de usuario, nombres reales, contraseñas, datos de facturación, direcciones postales, etc.
También pueden utilizar la página web para insertar publicidad maliciosa, o añadir códigos extraños.En ambos casos, esto puede poner en riesgo los dispositivos de las personas que interactúan con el sitio.
Otros sinvergüenzas disfrutan llevando a cabo actos disruptivos solo por puro vandalismo.
Y da lo mismo que se trate de una página personal o un pequeño blog, que no almacena información sensible.
Comprueba regularmente los complementos y temas de WordPress
Los complementos y los temas pueden dejar de recibir soporte por parte de sus desarrolladores, y volverse obsoletos.
Esto los convierte en una puerta abierta a los exploits.
El 25 de marzo de 2024, se descubrió una vulnerabilidad de seguridad crítica en el complemento LayerSlider para WordPress, marcada como CVE-2024-2879.
También incluir errores de programación, tener unos términos de uso un poco turbios, o el desarrollador puede desaparecer de la noche a la mañana.
Para proteger tu instalación de WordPress y mejorar la seguridad, te recomendamos que investigues un poco antes de decidirte por una aplicación de terceros.
- ¿El complemento o tema tiene una gran base de usuarios?
- Lee las reseñas de otras personas para ver si su calificación promedio es alta.
- ¿Sus propietarios están desarrollando activamente el complemento e implementando actualizaciones y parches de seguridad?
- ¿Sus términos de servicio y política de privacidad son razonables y comprensibles?
- ¿El proveedor proporciona su ubicación física y una página de contacto?
Si el complemento o tema no cumple con ninguno de estos requisitos, o ha cambiado recientemente de propietario, es posible que desees buscar una solución más segura.
Elimina los complementos y temas que no utilices
El almacenamiento de complementos inútiles en tu instalación de WordPress, aumenta enormemente la posibilidad de que tu sitio se vea comprometido, incluso si están deshabilitados.
La eliminación de complementos y temas «durmientes» ayuda a mejorar la seguridad y protege a WordPress de los villanos.
Mantén el núcleo de WordPress actualizado y también los complementos de terceros
Estas actualizaciones de WordPress son cruciales para la seguridad y estabilidad de un sitio web creado mediante esta plataforma
El equipo de seguridad de WordPress trabaja diligentemente para proporcionar actualizaciones del CMS, y también para facilitar parches de seguridad que corrigen las vulnerabilidades que pueden ir surgiendo.
Sin embargo, el uso de complementos y temas de terceros expone a los usuarios a amenazas de seguridad adicionales.
Al instalar regularmente las últimas versiones de la plataforma y de las extensiones de terceros, conseguiremos que WordPress sea bastante más seguro.
Si todo está configurado de forma correcta, cuando haya una nueva actualización de WordPress disponible, se te notificará en el Panel de control mediante el apartado «Actualizaciones».
Para mantener tu sitio hecho con WordPress seguro y protegido, es fundamental aplicar las actualizaciones lo antes posible
Iniciar sesión regularmente en la parte administrativa de tu sitio, te asegurará que estás al tanto de las actualizaciones a medida que se publiquen.
Lo mismo tienes que hacer con los complementos y temas.
A veces, es posible que WordPress no pueda actualizar una extensión si se ha descargado de un sitio web de terceros.
Si este es el caso, puede que tengas que hacerlo manualmente mediante FTP o usar el actualizador incluido en la aplicación.
Utiliza contraseñas seguras
La seguridad de la contraseña es un factor muy importante para fortalecer tu sitio web y aumentar en gran medida la seguridad de la parte administrativa.
Los atacantes suelen utilizar listas de contraseñas para forzar los sitios web construidos con WordPress.
Implementa la autenticación de dos factores (2FA)
Este método proporciona una segunda capa de seguridad, ya que requiere que un usuario apruebe los inicios de sesión a través de una aplicación instalada en un teléfono móvil u otro dispositivo.
En caso de que alguien adivine la contraseña, no podrá acceder a la administración, si no inserta el código proporcionado por el autentificador.
Cómo agregar 2FA a WordPress usando Google Authenticator.
- Descarga e instala Google Authenticator en tu iPhone o teléfono con Android.
- Instala y activa el plugin Wordfence Login Security.
- Abre Wordfence Login Security y sigue las instrucciones.
Limita los intentos de inicio de sesión
Lamentablemente, de forma predeterminada, WordPress permite a los usuarios intentar iniciar sesión un número ilimitado de veces, lo que deja a los sitios vulnerables a los ataques de fuerza bruta.
Para remediar esto, puedes instalar algún complemento como Limit Login Attempts Reloaded, que brinda esta función.
Wordfence es posiblemente uno de los mejores plugins de seguridad para WordPress, que aparte de protección contra ataques de fuerza bruta, también cuenta con otras funciones, como un firewall o un escáner de malware.
Implementa el uso de reCAPTCHA para los inicios de sesión, los sistemas de comentarios y los formularios de contacto
Básicamente, esta función sirve para diferenciar a las máquinas de los humanos.
Es extremadamente útil para impedir que los bots controlados por los villanos realicen intentos automáticos de acceder al panel de control de WordPress, y también para evitar los intentos de spam llevados a cabo mediante los formularios del sitio.
Para ello tendrás que descargar un complemento de terceros.
Evita instalar temas y complementos de WordPress piratas
Seguramente, al llevar a cabo una búsqueda de herramientas para WordPress, es posible que te hayas topado con páginas web que ofrecen temas y complementos de pago de manera gratuita.
Y no siempre es por casualidad: encontrarlos es tan fácil como buscarlos en internet.
Puede que pienses que vas a ahorrarte una pasta, y que por cero euros tendrás un complemento prémium funcionando en tu sitio.
Pero la mayoría de ellos (por no decir casi todos), acostumbran a tener código malicioso ofuscado o codificado en Base 64, que puede inyectar malware en el navegador del usuario, implementar puertas traseras, enlaces a páginas de contenido infame, etc.
Y seguramente sufrirás una desagradable experiencia.
- Los principales navegadores web marcarán tu página como no segura.
- Aparecerá en alguna lista negra: Google SafeSearch, Forcepoint ThreatSeeker, Sucuri SiteCheck, etc.
- Llegará a la zona alta del ranking de páginas (o domios) que distribuyen spam.
Una página web, puede estar más o menos bien hecha, o tener mucha, poca o ninguna popularidad, pero esto, con tiempo y dedicación, se puede intentar mejorar, y de paso se va aprendiendo.
Pero cuando un nombre de dominio o un portal web adquieren mala reputación por difundir spam o repartir malware, es muy complicado salir de las diferentes listas negras.
Actualiza la versión de PHP
PHP es la base en que se sustentan WordPress, Joomla y otros gestores de contenidos, por lo tanto, es muy importante utilizar su última versión.
Utilizar una versión obsoleta de este lenguaje de programación, implica no recibir soporte y en consecuencia quedar expuesto a vulnerabilidades de seguridad que no se van a parchear.
La versión de PHP 7.4.32, en estos momentos, no está recibiendo correcciones de seguridad. Es muy recomendable actualizar a la versión 8.x
Si no sabes qué versión de PHP estás utilizando, puedes saberlo consultando el panel de control de tu proveedor de alojamiento.
Cambia la URL de acceso a la parte administrativa de WordPress
Que el inicio de sesión a la parte administrativa de WordPress es «xxx.com/wp-admin», es un secreto a voces.
Por lo tanto, los villanos que utilizan bots y otras herramientas para perpetrar ataques de fuerza bruta, también lo saben.
Para cambiar la ruta de acceso por defecto, puedes usar el plugin gratuito WPS Hide login.
Esto no convertirá a tu página web en invulnerable, pero sin duda puede ayudarte a protegerla de los piratas informáticos.
Instala una solución de copia de seguridad
Algo muy importante es hacer copias de seguridad: tanto del sitio como de las bases de datos.
La frecuencia de las copias dependerá de la cantidad de cambios que realices en el CMS.
En caso de una catástrofe, lo agradecerás, ya que podrás restaurar tu sitio a un estado donde todo funcionaba correctamente.
La mayoría de alojamientos web de calidad, cuentan con una función dedicada exclusivamente a estos menesteres para que el proceso sea rápido y sencillo.
También puedes obtener un plugin de terceros desde el repositorio oficial de WordPress.
Conclusión
Hemos visto algunas maneras de reforzar la seguridad de un sitio hecho con WordPress, pero por supuesto no son las únicas.
Elegir un proveedor de hostig de calidad, que implemente medidas de seguridad, y huir del alojamiento web gratuito, es otra cosa a tener muy en cuenta: una magnífica construcción, edificada sobre unos cimientos inestables, posiblemente sufrirá grietas o acabará por derrumbarse.
Un servicio de seguridad de terceros, como Cloudflare (tiene un buen plan gratuito), evitará que un desaprensivo deje tu sitio inactivo por unas horas o tal vez días.