¿Cómo securizar WordPress en pocos pasos y fácilmente?

WordPress es una de las plataformas de sistemas de gestión de contenidos de gran popularidad en el mundo. Ante esta realidad lo común es que muchos usuarios con malas intenciones intenten atacar la vulnerabilidad de esta plataforma, es por esto que a continuación te indicaremos como securizar WordPress.

Securizar WordPress

Si tu blog o sitio web alojado en WordPress logra ser interceptado por un hacker, las consecuencias pueden ser catastróficas, pues deberás contratar a algún técnico para que recuperen tu autoridad sobre tu sitio web y además puedes enfrentar consecuencias económicas por la merma de ventas, futuros clientes y un posible detrimento de reputación.

Por lo tanto, es importante ser proactivo y tomar decisiones relevantes donde puedas disminuir las amenazas de un posible ataque de hackers, tomando medidas de seguridad en WordPress.

Existe un riesgo

Debemos decirte la verdad, todas las plataformas CMS no son cien por ciento seguros, y WordPress no es la excepción.

Los usuarios deben securizar WordPress de ataques maliciosos que se encuentran en dinámica evolución e invención y que habitualmente están buscando los errores en los plugins.

No obstante, puedes emplear diversas acciones para disminuir el peligro. Así que a continuación te presentamos información que podrán auxiliarte en la seguridad de tu sitio. Pero, estas acciones de seguridad deben ser constantes y para ser efectivas no puedes reducir tu alerta.

WordPress es una plataforma insegura

Esta interrogante es muy común leerla o escucharla por parte de muchos usuarios. Podemos indicarte que WordPress al igual que el resto de los gestores de contenidos, presenta fallas de seguridad habituales.

Por lo tanto solo el uso se le da a WordPress y como se cuide, es que podremos mantenerlo lejos de las amenazas de un ataque de hackers.

Por ejemplo si no renuevas y procedes a securizar WordPress, tu temática es de poca calidad, tu Password es tu fecha de nacimiento y no cuentas con un programa antivirus en tu computador, entonces eres presa fácil de sufrir los ataques de los expertos hackers.

Según estudios se ha demostrado que aproximadamente el 34% de los sitios en WordPress no están actualizados con la última versión. Este estudio fue realizado por el sitio web wpdoctor.es luego de estudiar 20.000 sitios en WordPress.

El usuario es el elemento débil

Sin duda alguna, uno de los factores de los cuales se aprovechan los hackers es de los usuarios que en muchas ocasiones no suelen atender asuntos fundamentales de seguridad, por eso en securizar WordPress te indicamos los elementos que debes atender para cuidar tu seguridad:

Cuida tu conexión de Internet

Lo primero que debes verificar es la forma en que estas conectado, si quieres  , es necesario que determines como estás conectado a internet si es por cable de red Ethernet (recomendado) o si usas una red WIFI.

Si empleas una red WIFI, verifica que esté activada la seguridad WPA-2 y modifica el Password  de entrada en la configuración de router que viene predeterminada por fábrica por una contraseña segura.

Si está activa la opción WPS en tu red WIFI, debes desactivarlo pues manteniéndolo trabajando es factible que la contraseña pueda ser hurtada de tu conexión.

Debes evitar a toda costa si quieres securizar WordPress, acceder a esta plataforma desde ordenadores de uso público, como puede ser un cibercafé o en la recepción de un hotel.

WiFi gratis: una amenaza de seguridad

Todos en alguna oportunidad hemos navegado usando redes WIFI públicas y abiertas, que se encuentran a disposición en hoteles, aeropuertos, centro comerciales, restaurantes, entre otros.

Sin embargo, esto puede ser una gran amenaza para tu seguridad y puede ser pagado con graves consecuencias. Por lo tanto, es obvio que no recomendamos el uso de redes WIFI públicas, pues estas no son para nada seguras.

Si en última instancia debes emplearlas, verifica que tu equipo esté protegido con un programa antivirus actualizado, un firewall actualizado y utiliza un programa VPN de tu confianza.

En la actualidad muchas opciones de antivirus que incluyen VPN particulares, lo cual es una buena opción. Otra opción es comprar una licencia en los servicios de VPN, de esta forma tus conexiones podrán estar codificadas.

Si tu realidad y cotidianidad te obliga a conectarte desde estas redes públicas (por trabajo, viajes o una situación que lo amerite) con una VPN podrás incrementar y fortalecer tu seguridad.

De todas formas, si te encuentras lejos de tu hogar o lugar de trabajo, es recomendable que utilices las conexiones móviles de tus dispositivos en lugar de una red WIFI abierta en la cual no conoces sus patrones de seguridad.

Uso de proxy

No emplees nunca un proxy para navegar y mucho menos si este es gratuito. En la red abundan las páginas web que recomiendan la navegación de manera secreta, sin embargo no puedes asociar secreto con seguridad.

Y es que si utilizas un proxy para navegar toda tu conexión pasa por servidor externo de alguien o algo al cual tú no conoces. Por lo general, los proxy son empleados con la intención de espiar los datos de tu conexión y de esta manera poder robarlos.

Encriptar datos

Una recomendación para securizar WordPress es descargar e instalar un certificado SSL en tu sitio web, navegar al mismo mediante HTTPS y así de esta manera los datos estarán codificados por la red.

Al navegar mediante HTTPS los datos se mandan de manera codificada a los servidores, de manera que si otro usuario intente robar tu información de acceso, solamente podrá visualizar una serie de símbolos sin sentido.

Es más no hace falta que adquieras el certificado más costoso que exista, simplemente con un certificado promedio (RapidSSL) pudiese servir, también puedes probar la opciones gratuitas como Let’s Encrypt.

Contraseñas seguras

No debes emplear claves sencilla como 1234567, contraseñas, pablo, Gmail, entre otros por ejemplo. Si este es tu caso te recomendamos pausar esta lectura y dirígete a cambiar estas contraseñas.

Una contraseña aceptable debe estar compuesta por una serie de elementos como pueden ser letras mayúsculas, letras minúsculas, números y caracteres especiales (como una coma, símbolo del dólar, punto, entre otros).

Un ejemplo de contraseña segura puede ser 8aO4.$xR2v2.

El tamaño de la clave es un elemento determinante que debe ser considerado con importancia, lo ideal es que esté conformada por mínimo doce caracteres.

Si es difícil refrescar en la memoria  una contraseña con estas características puedes elaborar una compuesta con una frase combinada con los elementos anteriormente expuestos, por ejemplo: 34pedro@Alejo–324”.

Contraseñas almacenadas en el navegador

No guardes jamás claves en tu navegador web, utiliza en contraparte un gestor de contraseñas  que existen en el mercado. Por lo general, suelen codificar su funcionamiento.

Las claves sean extensas o cortas pueden ser hackeadas, por eso en securizar WordPress te recomendamos activar el doble factor de autenticación.

Doble factor de autenticación

Emplea siempre este elemento en cada uno de las plataformas que ofrezcan esta opción. Configurarlo y comenzar a utilizarlo es sencillo.

Puedes configurarlo para emplearlo con los gestores de contraseñas y con tu correo electrónico. Es que debes proteger tu correo electrónico, pues algunas claves o enlaces para cambiar las contraseñas se mandan por este medio, así que busca los tutoriales adecuados para comenzar a emplear esta opción.

Puedes introducir un módulo de autenticación de dos factores (2FA) en la página de inicio de sesión. En este caso, el usuario proporciona detalles de inicio de sesión para dos componentes diferentes.

El propietario del sitio web decide cuáles son esos dos. Puede ser una contraseña normal seguida de una pregunta secreta, un código secreto, un conjunto de caracteres o, más popular, la aplicación Google Authenticator, que envía un código secreto a su teléfono.

De esta manera, solo la persona con su teléfono (usted) puede iniciar sesión en su sitio. Como recomendación prefiero usar un código secreto al implementar 2FA en cualquiera de mis sitios web. El complemento Google Authenticator me ayuda con eso con solo unos pocos clics.

Protege tu equipo

Debes dedicar tiempo para proteger, mantener y limpiar los computadores y dispositivos desde donde realizas tu actividad de gestión de tu WordPress.

Por lo general la mayoría de los usuarios con malas intenciones, aprovechan cualquier puerta de acceso cuando el usuario accede a la gestión de WordPress desde un equipo en riesgo o hackeado.

Al ingresar los datos de entrada los hackers toman esa información y a partir de ese momento dejan de servir esas medidas de precaución existentes que eviten una situación irregular.

Sistemas operativos y navegadores actualizados

Debes tener actualizados el sistema operativo que empleas en tu ordenador y a su vez el navegador que usas para acceder a internet si quieres securizar WordPress.

Puedes escoger el explorador de tu preferencia, pero siempre teniendo en cuenta que estás empleando la última versión del navegador.

Ajusta las actualizaciones automáticas, de esta forma puedes asegurar que tus instrumentos de navegación estén al día saltando el paso de actualizar de manera manual.

Prescinde acceder a sitios webs sospechosos, debido a que muchos de ellos logran descargar e instalar software maliciosos en tu ordenador.

No uses sistemas operativos piratas o descargues y ejecutes programas o archivos de software P2P o de sitios de descargas, pues aumenta la posibilidad que programas maliciosos se instalen en tu equipo.

Obtén en todo momento el software que deseas descargar desde la página oficial de los diseñadores.

Antivirus y firewall

Tus programas de seguridad deben estar renovados (antivirus y firewall), debido a que contar con una base de datos de estas herramientas desactualizadas, puede generar que se logre filtrar algún virus.

Verifica que estén activos las opciones de Firewall y estudios de seguridad predeterminados del antivirus y programa para que se ejecuten periódicamente en tu equipo.

Por lo general, los antivirus poseen firewall, pero en caso que tu programa contra virus no posea uno, agrega uno con el que puedas fortalecer tus medidas de seguridad.

Windows utiliza por ejemplo Windows Defender y a su vez está integrado el firewall de Windows.

Control de usuarios

Ingresa a tu ordenador con un perfil de privilegios de usuarios, no de administrador. De esta manera, es mucho más complicado que logren ajustarse programas maliciosos indeseados en tu computador.

Si otras personas tienen que usar el equipo, crea los perfiles de usuarios invitados con restricciones en los permisos.

Control de accesos

No utilices la misma contraseña para los distintos accesos que administres (WordPress, Webmail, FTP y para el acceso al panel de control del hosting).

Una de las formas en que los hackers pueden acceder a la información de tus equipos es mediante los FTP y de esta manera apoderarse del panel de control del hosting. En caso que debas utilizar FTP y no tengas otra opción para conectar con tu hosting, emplea siempre SFTP o FTPS para de esta manera cifrar y codificar el tráfico cliente/servidor.

Aísla tu entorno de trabajo

En caso de poseer un solo ordenador para tu trabajo, evalúa la probabilidad de laborar con un ambiente virtual, siendo varias las ventajas de esta modalidad:

• Permite el traslado práctico de un equipo físico a otro.
• Facilita los backups.
• Permite aislar tu entorno de trabajo.
• Delimita tus archivos personales de tus archivos profesionales.

Seguridad en WordPress

A continuación te daremos los principales consejos de cómo securizar WordPress, para mantenerte alejado de los ataques maliciosos:

Mantén la última versión de tu WordPress

Siempre que aparece una nueva versión de esta plataforma es para corregir fallos, agregar innovadoras funciones y para arreglar vulnerabilidades de seguridad que se han reportado.

Por lo tanto tener una versión desactualizada de esta plataforma puede convertirse en un permiso de entrada para programas maliciosos, debido a que conocen los fallos de seguridad, aprovechará esa situación para proceder a hackearnos.

Por lo tanto procede a actualizar WordPress, en cada ocasión que visualices un mensaje de actualización en la gestión de la plataforma, siendo un proceso muy fácil y que te tomará muy poco tiempo.

En caso de no poder realizar este proceso desde el gestor de administración de la plataforma, puedes realizar este proceso manualmente, recuerda siempre hacer un backups de tus archivos para evitar contratiempos previos a la actualización.

Uso de los Plugins

La mayoría de los ataques que se realizan a esta plataforma se llevan a cabo por medio de los plugins.

Es así que de la misma forma para securizar WordPress hay que mantener actualizado la plataforma, de la misma manera sucede con los plugin y hay que tenerlos al día con sus actualizaciones, pues estas corrigen fallos de seguridad.

La actualización puedes realizarla e la administración de WordPress de manera instintiva y de la misma forma que en la plataforma procede a realizar un backups de tus archivos.

Limita el uso de plugins

Emplea solo los plugins que necesites,  no es recomendable descargar e instalar grandes cantidades de plugins, debido a que este uso masificado de los mismos pueden convertirse en la oportunidad de los hackers para intervenir tu información.

Así que solo mantén los plugins que vas a emplear y si tienes estas herramientas que ya no utilices procede a desinstalarlo.

Otra recomendación es que utilices plugins confiables, siendo lo idóneo que emplees el buscador de estas herramientas que consigues en la administración de WordPress o los descargues del sitio web oficial del desarrollador de plugins.

De igual forma si el plugins es pago debes confirmar descargarlo desde el sitio web de los creadores, jamás debes instalar un plugins que hayas descargado desde una red P2P (torrent), administrador de descarga o alguna página de dudosa procedencia, pues existe una muy alta posibilidad que el plugin esté modificado con algún código malicioso.

Recomendaciones del uso de los plugins

A continuación te daremos algunas indicaciones sobre el uso de plugins:

• Es conveniente pagar un plugins que arriesgarnos a quedarnos sin página web.
• Visualiza y analiza la cantidad de descargas del plugin, si tiene un gran número de descargas es un indicador positivo.
• También debes prestar atención a fecha de la última actualización, pues debes desconfiar de aquellos que tengan más de dos años sin actualizar.
• Si deseas testear el plugins hazlo desde la página de respaldo, jamás lo hagas de manera directa en el sitio web original que tienes publicado.
• Una última recomendación es que descargues el plugin Security Scanner con el cual informará sobre las debilidades que tengan otros plugins que se encuentren en tu página web de WordPress.

Cuida el tema que estés utilizando

Puedes emplear los temas que desees, gratuitos o pago, pero siempre y cuando corresponda a la última actualización que se encuentre en el mercado.

En caso que el tema que estés utilizando se encuentre en el fichero de WordPress.org la última versión la encontrarás de manera automática en la administración de la plataforma.

Para los temas pago o gratuitos provenientes de otros sitios webs, por lo general debes verificar cada cierto tiempo si han aparecido nuevas adaptaciones que arreglen las fallas de seguridad que puedan tener.

Recuerda en ningún momento utilizar temas que hayas conseguido desde gestores de descargas, páginas dudosas o programas P2P, pues pueden venir modificados con códigos maliciosos.

Por último lo ideal siempre para securizar WordPress es usar solos los temas provenientes desde wordpress.org o desde el sitio web de los creadores.

Usuario admin

Jamás uses el usuario admin para ingresar a la gestión de tu WordPress, si un hacker desea ingresar en la administración de tu sitio web, el primer paso que dará será intentar ingresar con el usuario admin.

La recomendación que podemos darte para securizar WordPress es que gestiones un nuevo usuario con beneficios de administrador. Posteriormente, sal de la sesión e ingresa con tus nuevas credenciales recién creadas.

Luego ingresa al administrador de usuarios, modifica el usuario admin y edita los privilegios de administrador por miembro o suprime inmediatamente el usuario admin.

Al eliminarlo, confirma que ha reubicado los ingresos y las páginas que se encontraban configuradas con el usuario admin a otro perfil existente.

Realizando este cambio, los hackers para poder ingresar deberán saber además de la clave de administrador el nombre que se registró en ese perfil.

Si eres un usuario mucho más avanzado, puedes realizar la modificación de usuario desde phpMyAdmin.

Realiza respaldos periódicos y automatizados

Ciertas empresas de alojamiento hacen respaldos de la información de forma automatizada, pero para evitar molestias, siempre es una excelente idea realizar copias de seguridad de forma habitual de nuestro sitio web.

El número de respaldos será proporcional a la cantidad de información que vas colocando.

Siempre es trascendente hacer el backups antes de dedicarte a actividades como:

• Actualización de plugins.
• Actualización de WordPress.
• Instalación de nuevos plugins.
• Cambios en la base de datos.

En algunos casos pueden ocurrir acciones no deseadas e inesperadas y si el último respaldo es reciente no se desperdiciara los trabajos realizados con anterioridad.

En el gestor de plugins para WordPress puedes conseguir algunos con los cuales podrás llevar a cabo esta labor de forma automatizada, ejemplo XCloner.

Por último, debemos indicar que es fundamental hacer respaldos de seguridad en almacenamientos externos como Dropbox, cuentas FTP externas o Amazon S3.

También puedes bajar los respaldos que se realicen, pues si son borrados los datos de nuestro sitio web es probable que también borre la copia de seguridad.

Para no tener inconvenientes con el espacio de tu plataforma de alojamiento suprime los respaldos realizados luego de descargarlos a tu equipo.

Limita los intentos de acceso fallidos

Una de las maneras comunes que emplean los hackers para ingresar a la gestión de WordPress es mediante los ataques por fuerza bruta.

Esto reside en experimentar el ingreso al administrador con todas las composiciones potenciales de login y Password. Generalmente estas acciones se apoyan en diccionarios de claves, aquí radica la importancia de generar contraseñas seguras, complejas y sólidas.

Puedes configurar la cantidad de intentonas de conexión fallidas desde una IP única, reduciendo la amenaza de vivir un ingreso ilegal.

Casi todos los plugins de seguridad ya establecen ajustar los límites de conexiones fallidas, pero si tu preferencia es no hacerlo, hay plugins que tienen esta finalidad de forma exclusiva.

Protección adicional

Usar facultades extras de verificación agregará una franja adicional de seguridad que te permita securizar WordPress, estas son:

Protección Captcha WordPress

Puedes resguardar tu forma de acceder a la administración de WordPress mediante un formulario de validación con Captcha o con un doble factor de verificación como puede ser Latcha.

Formularios

Por lo general es muy común que se emplean formatos de los sitios web para realizar SPAM mediante Bots.  Si quieres evitar esta situación deberás resguardar la creación de un comentario mediante un Captcha.

Para resguardarse contra el mensaje SPAM puedes emplear el plugins Aksmient que se encuentra por defecto en esta plataforma.

Usuarios imprescindibles y con privilegios mínimos.

Debes asegurarte que los usuarios establecidos en tu página web con privilegios de administrador tengan una clave sólida, pues de lo contrario estarán complicando la seguridad de WordPress.

Otorgando a los usuarios los privilegios básicos disminuyen las probabilidades de comprometer la seguridad del sitio web. Para no dejar cabos sueltos, te recomendamos resetear las contraseñas de todos los perfiles existentes.

Constantemente verifica el estatus de tus usuarios y suprime aquellos que no estén siendo usados o que no deban acceder a la plataforma y de esta manera securizar WordPress.

Oculta la versión de WordPress

Las distintas versiones de esta plataforma pueden poseer fallas de seguridad que en muchos casos los hackers ya conocer y son aprovechadas para acceder a WordPress.

Esconder la versión de WordPress que estés empleando puede dificultar la labor a ese hacker, pues no podría reconocer la versión y su falla de seguridad.

La facultad de mostrar la versión de tu WordPress, está determinada en tu web por la función wp_head(), la cual está conformada a su vez por la función  que contiene el siguiente valor: wp_generator().

Por lo tanto, si deseas esconder esta información, tienes que adjuntar la siguiente línea en el archivo functions.php de tu WordPress:

remove_action(‘wp_head’, ‘wp_generator’);

Audita tu WordPress

Emplea  aplicaciones y herramientas para comprobar el estatus de los diferentes aspectos significativos de la seguridad de tu WordPress.

Para esto podemos recomendar algún software gratuito con el cual puedes realizar un análisis para securizar WordPress muy completo, con el que podrás comprobar los siguientes aspectos:

• Te indica si estas usando la ´última versión de WordPress.
• Te avisa si estás utilizando la última versión de los plugins más importantes.
• Verifica que el ingreso al administrador esté protegido a asaltos de fuerza bruta.
• Te enseña a recopilar elementos de tu instalación y también a como esconderlos.

Esta verificación del estado de tu WordPress  la puedes realizar utilizando Google Safe Browsing o con Google Console (antes Webmaster Tools).

Seguridad en Hosting WordPress

Si has leído todo hasta aquí ya estás al tanto de todos los riesgos que pueden rodearte y de las acciones de seguridad que tienes que emplear para disminuir esos riesgos para securizar WordPress. Sin embargo, ahora le toca el turno al hosting, pues te será de muy poca utilidad tener un WordPress blindado si el servidor de alojamiento está desprotegido.

Por lo tanto lo principal es tener un servicio de hosting que se preocupe por suministrar aspectos referidos a la seguridad en el servidor, siendo su primera alcabala de defensa.

Hosting profesional

Comprueba todas las características del servicio de alojamiento que deseas acordar para tu sitio web y cerciórate que la seguridad sea una de sus preferencias.

Sistema Operativo

En este aspecto te sugerimos utilizar Linux en lugar de Windows, pues si bien ambos sistemas presentan sus fallas de seguridad y por lo general son atacados con códigos maliciosos, Linux desde su creación tiene cierta ventaja por ser de código abierto y por su comunidad de desarrolladores.

Y es que si bien Linux, no está exento de ataques, los mismos tienen respuesta inmediata y óptima ante los problemas de seguridad que su competidor Windows.

Hosting actualizado en Seguridad

A continuación en securizar WordPress te mostramos algunas acciones que debes considerar en un servicio de alojamiento:

Permisos del hosting

Deben ser 644 para archivos y 755 para carpetas. En caso de no estar configurados de esta forma por defecto, corres un gran riesgo de seguridad.

Sistema de aislamiento

Debe venir de la mano del hosting, de esta manera ante un comportamiento inusual o hackeo del sitio web el servidor no afecte al resto de los archivos.

Aplicaciones de monitorización

Emplear estas aplicaciones en tiempo real para que estudien los ficheros que se encuentren en el disco, para cerciorarse que no existe un malware ni código sospechoso.

Uso de un WAF (Web Application Firewall)

Por medio de esta característica se pueden configurar políticas de seguridad, que contendrán gran parte de los ataques que se lleven a cabo en tu WordPress.

De esta manera, es posible que algún plugin de tu sitio web posea alguna falla en el código de seguridad, pero el WAF configurado correctamente puede evitar el ataque.

Configuración de servidor

Evita que se pueda visualizar  los archivos de una carpeta de la web o buscar la versión de PHP que se esté ejecutando, debido a que esto pone en alto riesgo la seguridad.

Protección de las bases de datos.

Otra de las acciones a considerar puede ser que solo permita el ingreso a las bases de datos desde el mismo servidor y no por medio de dispositivos remotos.

Puerto MySQL cerrado

Debe estar cerrado y en caso de acceder desde otra ubicación se debe solicitar el acceso solamente a tu IP.

Software actualizado

De la misma forma que pasa con WordPress y los plugins, es determinante que el programa que se usa en el servidor se encuentre actualizado, por las razones que hemos indicado anteriormente una versión antigua puede presentar vulnerabilidades.

Copias de seguridad

Un valor agregado que se puede brindar es la realización de respaldos de seguridad automatizadas de la información  de manera que si se debe restaurar a un momento anterior de nuestra web, tengamos a mano de las copias de seguridad.

Pero siempre ten presente que aunque el hosting realice backups de seguridad automatizadas no es razón para que no hagas tus respaldos de forma manual.

Otro elemento que debes considerar es que el respaldo que encuentres en tu hosting no debe guardar relación con la fecha del estatus del sitio web que quieres restaurar.

Comprender y proteger contra ataques DDoS

Un ataque DDoS es un tipo común de ataque contra el ancho de banda de su servidor, donde el atacante usa múltiples programas y sistemas para sobrecargar su servidor.

Aunque un ataque como este no pone en peligro los archivos de su sitio, está destinado a bloquear su sitio durante un largo período de tiempo si no se resuelve.

Por lo general, solo escuchas sobre ataques DDoS cuando le sucede a grandes empresas como GitHub o Target. Son conducidos por lo que muchos llaman ciber-terroristas, por lo que el motivo podría ser simplemente causar estragos.

Dicho esto, no es necesario ser una compañía Fortune 500 para estar en riesgo y securizar WordPress.

Seguridad en WordPress para usuarios Avanzados

Las disposiciones de seguridad que se pueden emplear para resguardar tu WordPress son amplias y la idea nos es apabullarte con otras acciones complejas.

No obstante, si eres un usuario avanzado y deseas mantenerte laborando en los asuntos de securizar WordPress, a continuación te presentamos acciones adicionales que puedes ejecutar:

Activa la actualización automática en tu WordPress

Esta indicación la resaltamos anteriormente, la versión 3.7 de WordPress creó una óptima modificación agregando la actualización automática de WordPress.

Si mantienes esta alternativa activada, consolidamos que las actualizaciones de seguridad sean descargadas inmediatamente estén disponibles.

Se puede ajustar las actualizaciones de forma automatizada del foco de WordPress desde el fichero wp-config.php. Para esto solo deberás agregar estas líneas para cada tipo de configuración: Tan solo debes añadir las siguientes líneas para cada una de las configuraciones:

• //Todas las actualizaciones del núcleo desactivadas define( ‘WP_AUTO_UPDATE_CORE’, false );
• //Todas las actualizaciones del núcleo activadas define( ‘WP_AUTO_UPDATE_CORE’, true );
• //Sólo actualizaciones menores del núcleo activadas define( ‘WP_AUTO_UPDATE_CORE’, ‘minor’ );

Para los nuevos plugins y plantillas lo ideal es realizarlo de forma es mejor hacerlas de forma manual, debido a que pueden ser más perceptivas a estas modificaciones y podrían generar fallos en la web si no se comprueba bien su entendimiento con la versión de WordPress.

Bloquea todos los hotlinking

Esta es otra acción que puedes implementar para securizar WordPress, supón que localiza una imagen en línea y desea compartirla en su sitio web. En primer lugar, necesitas permiso o para pegar esa imagen, de lo contrario hay Modifica la URL de WordPress una buena posibilidad de que sea ilegal hacerlo.

Pero si obtiene permiso, puede extraer directamente la URL de la imagen y usarla para colocar la foto en su publicación. El principal problema aquí es que la imagen se muestra en su sitio, pero está alojada en el servidor de otro sitio.

Desde esta perspectiva, no tiene ningún control sobre sí la foto permanece o no en el servidor. Pero también es importante darse cuenta de que las personas pueden hacerle esto a su sitio web.

Si está tratando de securizar WordPress, hotlinking es básicamente otra persona que toma su foto y roba el ancho de banda de su servidor para mostrar la imagen en su propio sitio web. Al final, verá velocidades de carga más lentas y la posibilidad de altos costos de servidor.

Aunque existen algunas técnicas manuales para prevenir el enlace directo, el método más fácil es encontrar un complemento de seguridad de WordPress para el trabajo.

Por ejemplo, el complemento All in One WP Security and Firewall incluye herramientas integradas para bloquear todos los enlaces directos.

Modifica la URL de WordPress

En los sitios web elaborados con esta plataforma la manera de acceder a la administración se hace por una URL por predeterminada http://sitioweb.com/wp-admin o http://sitioweb.com/wp-login.php

Los hackers tienen pleno conocimiento de esta situación, pues por medio de acciones de fuerza bruta intentan explotar el ingreso a la WordPress.

Por esto debes cambiar la URL que otorgan el ingreso a la administración, pues impedirás los ataques de ingreso por fuerza bruta.

Protege archivos que comprometan la seguridad de tu web.

Podemos encontrar distintos registros y archivos que pudiesen poner en riesgo el proceso de securizar WordPress.

Por ejemplo hay archivos que se agregan al momento de instalar la plataforma, son totalmente informativos, pero sus contenidos pueden ser utilizados por los hackers para llevar a cabo sus acciones.

Protege tu base de datos

El registro de los datos es donde se almacena los datos de la instalación de WordPress. Por lo tanto, no es difícil imaginar que es un elemento muy atractivo para los crackers y spammers, enviando códigos maliciosos de forma automática para tomar tus datos.

Esto permite que los ataques maliciosos sean planificados de una manera más sencilla al centrarse en el prefijo por defecto de los cuadros de la base de datos que es: wp.

Por lo tanto no debes olvidar modificar el prefijo de la base de datos durante el proceso de instalación de esta herramienta.

En caso que ya tengas instalada la plataforma, para securizar WordPress puedes cambiar el prefijo de manera sencilla con el plugin Change DB Prefix.

No olvides, realizar tu respaldo de seguridad de la base de datos antes de emprender alguna modificación.

Protege el archivo wp-login.php

Si eres de los que mantienes bloqueado el registro e ingreso de usuarios en el panel de WordPress, te recomendamos que resguardes el ingreso al wp-login.php a direcciones IP previamente autorizadas.

Este paso solo debes realizarlo en caso que los visitantes de tu web no deben ingresar como usuario. Un ejemplo puede ser una tienda en línea.

Agrega una cabecera X-Content-Type

Con esta acción puedes evitar que los usuarios malintencionados logren modificar los archivos css o js por archivos ejecutables.

Agrega un plugin de seguridad para WordPress

Con los plugins podrás incrementar tus medidas de seguridad de variadas formas, con ellos podrás proteger el ingreso a la administración de la plataforma hasta verificar los archivos de la misma en búsqueda de algún código malicioso.

En el mercado hay una gran variedad de plugins con funciones de seguridad, entre ellos destacamos:

• Wordfence.
• Ithemes Security.

Debes tener especial cuidado al momento de ajustar alguno de estos plugins, pues podrías bloquear tu ingreso con estas herramientas.

Es importante que tengas siempre presente que la instalación de los plugins de seguridad no harán la plataforma más segura y cabe la posibilidad que se produzcan rendimientos insospechados, por encontrarse varios plugins cambiando archivos fundamentales para el óptimo funcionamiento de WordPress como puede ser el archivo .htaccess.

Por eso siempre es importante al instalar nuevos plugins de este tipos, es importante realizar un respaldo de seguridad, así podrás restaurar tu sitio en caso de algún funcionamiento inesperado.

Agrega una cabecera X-Frame-Options

Otro elemento para securizar WordPress puede ser agregando esta cabecera, pues de esta manera se evita que el sitio web aplique un frame o iframe (marcos).

Esto sirve para evitar agresiones de tipo clickjacking y así no lograrán cambiar nuestro sitio web desde una ubicación exterior. Lo cual podría generar que tu contenido se encuentre duplicado en otro dominio lo cual podría generar sanciones de Google por esta situación.

Agrega una cabecera X-XSS-Protection

Otra forma de securizar WordPress es agregando esta cabecera para enfrentar agresiones de tipo XSS.

Al agregar estas cabeceras tanto en los archivos .htaccess como en los archivos functions.php, debes cerciorarte que al evaluar tu sitio web el mismo funcione correctamente.

Si llegas a observar un desempeño inusual en tu sitio web, suprime el código para invertir la transformación y recuerda siempre al trabajar en estos cambios realizar tus copias de seguridad de la información que vayas a cambiar.

Protección extra mediante el fichero .htaccess

Existen diversas formas con las que puedes agregar resguardos adicionales por medio de .htaccess, estas pueden ser:

Impedir la ejecución de ficheros .php en el directorio uploads

La ruta /uploads por lo general se emplea para guardar imágenes o vídeos y en algunas ocasiones puede ser atacado por los usuarios maliciosos que agregan un serial PHP alterado utilizando los scripts para agregar imágenes de WordPress.

Una solución óptima es agregar un fichero .htaccess en el directorio uploads imposibilitando el ingreso de ficheros php:

• <Files *.php> Deny from all  </Files>

A su vez se puede restringir el ingreso selecto a los archivos de imagen en directorios como uploads:

• Order Allow,Deny Deny from all  <FilesMatch «^[^.]+.(?i:jpe?g|png|gif)$»>  Allow from all  </FilesMatch>

Para impedir que ciertos seriales maliciosos logren encubrirse con denominaciones como xxxxxx.php.jpg, se pueden obstruir por su conformación:

• <FilesMatch «.(php|php.)(.+)(w|d)$»> Order Allow,Deny  Deny from all  </FilesMatch>

Redirigir los errores

Otra forma de securizar WordPress es direccionar las fallas, esta es una óptima forma para impedir que se visualice los datos que puedan generar algún tipo de indicio a usuarios malintencionados:

• ErrorDocument 404 http://www.elsitio.com ErrorDocument 403  http://www.elsitio.com

Negar acceso a herramientas wget, curl, perl, entre otros

A pesar que la información que se muestra en tu sitio web es pública, puede que te concierna impedir que pueda ser copiada y plagiada.

Y si bien no hay manera de resguardarlo completamente, si podemos complicar esta labor, impidiendo el ingreso de determinadas aplicaciones de forma que no puedan escanear el sitio web y bajar la información:

Evitar ataques de inyección SQL

WordPress tiene predeterminadas ciertas medidas que impiden este tipo de agresiones, pero existe la posibilidad que alguno de los plugins pueda tener alguna falla en este elemento. Si esta fuese la situación, puedes emplear algún tipo de código para prevenir ataques de inyección SQL.

Protección adicional mediante el wp-config.php

Si quieres impedir que desde la administración de WordPress se logre cambiar el código de ficheros, tienes la opción de agregar esta línea al fichero wp-config.php:

• define(‘DISALLOW_FILE_EDIT’, true);

Y si el sitio web ya está elaborado y no quieres agregar nuevos plugins o plantillas, estas pueden ser desactivadas  la instalación de temas y plantillas agregando:

• define(‘DISALLOW_FILE_MODS’,true)

Deshabilitar XMLRPC para impedir ataques de DoS

Por medio de esta acción es común ejecutar ataques de negación de servicios. A partir de una ubicación clandestina se ejecutan diversas peticiones pingback creadas manualmente a muchos WordPress, indicando que en tu sitio web han hecho referencia sobre ellos.

Posteriormente estos WordPress intentarán verificar si verdaderamente los han vinculado bajando tu sitio web y al aprobar tantas solicitudes de descargas al mismo tiempo desde diversas páginas web, tu sitio quedará bloqueado.

Esta situación puede ser evitada de dos maneras:

Cierra por totalmente el comportamiento XMLRPC

Esta acción puede generar que se desaprovechen algunas funciones importantes como los pingback y los trackback.

Disponer de un Firewall Web (WAF)

Con esto puedes protegerte a través de funciones avanzadas que ejecutan de acuerdo a las peticiones XMLRPC que aceptas y si esta situación  se incrementa en una cantidad exagerada se bloquea todo el tráfico

Si tomas la decisión de desactivar XMLRPC,  puedes ejercer esta acción de forma manual o empleando el plugin XMLRPC Disable.

Si quieres hacer de forma manual debes agregar el siguiente código en el fichero functions.php:

• add_filter(‘xmlrpc_enabled’, ‘__return_false’);

Bloqueos por user-agent

En algunos momentos es ineludible cercar ciertas herramientas, por ejemplo a ciertos robots, realizando cierres por user-agent en el fichero .htaccess.

Mediante esta acción puedes evitar el ingreso de un user-agent predeterminado en tu sitio web.

Bloqueos por referer

En otras oportunidades para securizar WordPress es necesario evitar conexiones que provienen desde un referer preestablecido, por lo tanto puedes emplear un código para revertir esta situación.

Mediante este bloqueo alcanzarás cerrar el ingreso a tu sitio web desde un vínculo localizado en un dominio establecido.

Crypto.php

Es quizás una de las fallas más relevantes y difundidas de la plataforma, incide de manera directa a las plantillas y plugins no autenticados por gestor oficial de WordPress.org y por lo general viene agregado en plantillas o plugins provenientes del mercado negro adquiridos de manera ilegal.

La intención de este malware es agregar a tu sitio web vínculos que por lo general enlazan a otros sitios web con fines maliciosos.

A su vez puede ser empleado también con otros fines como conectarse con servidores de control para ejecutar asignaciones determinadas (envió de Spam, albergar otro tipo de información, ejecutar ataques a otros sitios web).

Por lo general el código malicioso se encuentra en una corta línea como la siguiente:

• <?php include(‘assets/images/social.png’); ?>

Como puede observarse, lo que suelen realizar es agregar un script citando a un código que hay clandestino en un fichero .png, que en hipótesis debería ser una imagen.

Para evitar esta falla de seguridad recomendamos no descargar plugins ni plantillas de páginas web no oficiales, siempre debes realizarlo desde el sitio de descargas oficial de WordPress.org

Si llegas a estar afectado por esta amenaza, debes instalar el plugin de seguridad Wordfence, el cual tendrá una opción de estudiar todas las imágenes como si fuesen un código php.

Un elemento que te debe llamar la atención es ver en los ficheros PHP directorios donde solo deberías encontrar imágenes, ejemplo /wp-content/uploads.

Plugins de seguridad para WordPress

A lo largo de toda la publicación hemos hecho referencia a diversas herramientas de seguridad de esta plataforma, sin embargo a continuación detallaremos los complementos de seguridad más importantes para securizar WordPress:

Sucuri Security

Este plugin se puede encontrar en una versión de pago y también en una versión gratuita, con la cual gran parte de los sitios web deberían funcionar de forma óptima con la versión gratuita.

Características de Sucuri Security

Entre sus principales características tenemos:

• Contiene auditoría de actividad de seguridad.
• Constante monitoreo integrado de archivos, listas negras, notificaciones de seguridad y fortalecimiento de la seguridad.
• El servicio atención al cliente está disponible en forma de chat y correo electrónico instantáneos.

iThemes Security

Este plugin para securizar WordPress es una de las maneras más sólidas para defender tu página web. Cuenta con más de 30 ofertas para impedir acciones de hackers e intrusos no deseados. Posee un sólido rumbo en el estudio de debilidades de plugins, programas obsoletos y contraseñas débiles.

Características de iThemes Security

Entre sus principales características tenemos:

• El plugin de seguridad ofrece detección de cambio de archivo.
• Agrega una capa adicional de protección a su inicio de sesión.
• Actualiza su salt y sus claves.

Wordfence Security

Wordfence Security es el plugins de seguridad con mayor popularidad en WordPress. Mezcla la sencillez con fuertes instrumentos de protección, como las robustas actividades de seguridad de inicio de sesión y los instrumentos de reparación de sucesos de seguridad.

Una de las principales fortalezas de este plugins es que puedes conseguir datos sobre las preferencias habituales del tráfico y las tentativas de pirateo.

Características de Wordfence Security

Entre sus principales características tenemos:

• Ideal para sitios web más pequeños.
• Posee un conjunto completo de firewall.
• Verifica los plugins y le informa si se eliminaron del repositorio de plugins de WordPress.

WP fail2ban

WP fail2ban es un plugin que cumple una sola función y es protegerte contra los ataques de fuerza bruta, radicando aquí su gran importancia para securizar WordPress.

Este complemento adquiere un rumbo distinto que es valorado por muchos especialistas como más seguro, que los plugins nombrados anteriormente. Registra todos los inicios de sesión sin importar su naturaleza o éxito.

Características WP fail2ban

Entre sus principales características tenemos:

• Registro de comentarios para evitar spams.
• Registra información sobre pingbacks y enumeración de usuarios.
• Presenta opción de crear un código corto que bloquee usuarios de manera rápida.

All In One WP Security & Firewall

Es considerado como uno de los complementos de seguridad gratuitos más robusto y sólido. Con All In One WP Security & Firewall suministra una interfaz manejable y accesible y su servicio de atención tiene gran rendimiento sin necesidad de emplear una suscripción paga.

Este plugin para securizar WordPress emplea diversos gráficos, contadores e ilustraciones para exponer a los usuarios principiantes estadísticas como la firmeza de la seguridad y las acciones que se deben emplear para lograrlo.

Características All In One WP Security & Firewall

Entre sus principales características tenemos:

• Posee un blacklist que puede configurar para bloquear a un usuario.
• Realiza respaldos de seguridad de los archivos .htaccess y wp-config

Jetpack

Gran parte de los usuarios de WordPress conocen este plugin, esto es debido a que este complemento posee diversas funciones. Está desarrollado por el personal de WordPress.com.

Características de Jetpack

Entre sus principales características tenemos:

• Cuenta con patrones para robustecer redes sociales, velocidad de la página web y resguardo contra spam.
• Las actualizaciones de otros complementos se gestionan por medio de Jetpack.
• Consigue monitoreo de tiempo de inactividad.

SecuPress

SecuPress es uno de los complementos de seguridad de reciente aparición en el mercado. Posee una versión gratuita y una versión paga. Entre bondades podemos encontrar, una excelente interfaz y sencilla de utilizar, protege sus claves de seguridad y autenticación de dos factores.

Características de SecuPress

Entre sus principales características tenemos:

• Modifica la URL de inicio de sesión de WordPress para que los Bots no puedan conseguirla.
• Detectar temas y plugins vulnerables o manipulados.

BulletProof Security

El plugin BulletProof Security tiene una versión gratuita y una paga. Con este plugins puedes obtener  recibes usos para cuarentenas, notificaciones por correo electrónico, bloqueo anti spam, restauración automatizada, entre otros.

Características BulletProof Security

Entre sus principales características tenemos:

• Oculta carpetas de plugins individuales.
• Posee un sistema de detección de intrusiones.
• Con un sólido sistema de prevención y soluciones de encriptación.

VaultPress

Es unos de los plugins de seguridad pago más accesible del mercado. Con planes para bloggers, sitios web pequeños y para grandes portales.

Es funcional para securizar WordPress por sus backups de seguridad en tiempo real, con un cronograma para planificar una actividad cuando desees realizarla y con restauraciones de aplicación rápida con un solo clic.

Características VaultPress

Entre sus principales características tenemos:

• El panel de control posee una visual limpia y fácil de emplear.
• Puedes hacer respaldos de seguridad en el momento o programados.
• Las estadísticas presentan información sobre los horarios de visitas más populares en su sitio.

Google Authenticator

El plugin de Google Authenticator es ideal para securizar WordPress, pues añade un elemento de seguridad adicional a su formato de inicio de sesión, lo cual es primordial para disminuir los ataques de piratería informática, los cuales son muy común en el proceso de inicio de sesión.

A su clave de acceso tradicional, se le agrega una notificación enviada por el plugin a su dispositivo móvil, o por medio de una pregunta de seguridad o mediante el escaneo de un código QR.

Mediante este complemento su inicio de sesión se fortalece, frente a los ataques, pues el segundo manto de seguridad lo tiene usted en sus propias manos, por ejemplo el teléfono.

Características Google Authenticator

Entre sus principales características tenemos:

• Elimina debilidades en su área de inicio de sesión.
• Permite seleccionar los usuarios que deben pasar por el proceso de autenticación.

Security Ninja

Cuenta con dos versiones: gratuita y de pago. El modelo principal que es el gratuito, posee más de 50 test de seguridad desde pruebas de archivos, autorizaciones de MySQL hasta diversos ajustes de PHP.

Características de Security Ninja

Entre sus principales características tenemos:

• El comprobador de seguridad realiza más de 50 pruebas en todo el sitio.
• El modelo de reparación automática puede solucionar cualquier problema detectado.
• Escanea plugins y temas en busca de código sospechoso y malware.
• Puedes planificar escaneos regulares.

Defender

Defender brinda securizar WordPress por estratos de manera sencilla y fácil. Cuenta con una versión gratuita y una de pago.

Características de Defender

Entre sus principales características tenemos:

• Escaneos gratuitos en búsqueda de códigos sospechosos.
• Compara su instalación de WordPress con el directorio.
• Informa sobre cambios.
• Restaura el archivo original con un sólo clic.

Astra Web Security

Es uno de los plugins para securizar WordPress más sólidos del mercado, se encarga de: Malware,  SQL, XSS, comentarios de spam, fuerza bruta y más de 100 amenazas.

Su escritorio es sencillo y fácil de usar por el usuario y cuenta con el respaldo de ser usado por muchas marcas reconocidas mundialmente como Gillette, African Union, Ford y Oman Airways.

Características de Astra Web Security

Entre sus principales características tenemos:

• Brindan limpieza de malware inmediata.
• Registro de todos los ataques y presenta la opción de bloquear o agregar a la lista blanca el país, el rango de IP o una URL.

Sabemos que esta información ha sido de tu interés, así que no dudes en compartirlo con tus amistades y familiares. Asimismo, te invitamos a visitar los siguientes enlaces:

¿Cómo aprovechar las estadísticas de WordPress?

Mejores Plugins para usuarios de WordPress

¿Cómo actualizar WordPress de forma rápida y segura?