Mejor tutorial de seguridad en WordPress

Cuando se trata de la seguridad en WordPress, hay muchas cosas que puede hacer para bloquear su sitio para evitar que los piratas informáticos y las vulnerabilidades comprometan su comercio electrónico o blog. Lo último que le gustaría que suceda es despertarse una mañana para descubrir su sitio en ruinas. Así que hoy compartiremos con usted muchos consejos, estrategias y técnicas que puede usar para mejorar la seguridad de WordPress y mantenerse protegido.

La primera pregunta que probablemente te estés haciendo es esta: ¿es seguro WordPress? En la mayoría de los casos, sí. Sin embargo, WordPress a menudo tiene la reputación de ser vulnerable en términos de seguridad y no ser intrínsecamente una plataforma segura para uso comercial. Pero la mayoría de las veces esto se debe al hecho de que los usuarios siguen lo que han demostrado ser las peores prácticas en términos de seguridad.

Es el uso de software obsoleto de WordPress y complementos cancelados, un sistema de administración deficiente, mala gestión de credenciales y la falta de los conocimientos necesarios en la Web y en seguridad entre los usuarios no técnicos de WordPress para dar a los hackers el control de sus juego cibercriminal. Incluso los líderes de la industria no siempre siguen las mejores prácticas; si un reuters fue hackeado seguramente fue porque usaba una versión desactualizada de WordPress.

Esto no quiere decir que no existan vulnerabilidades. Según un estudio realizado en el tercer trimestre de 2017 por Sucuri, una compañía especializada en seguridad multiplataforma, WordPress continúa liderando el ranking de sitios web infectados en los que ha trabajado (en 83%). Comenzó desde el 74% de 2016.

Seguridad en WordPress

Básicamente, la seguridad no se trata de tener sistemas perfectamente seguros, tal cosa podría ser poco práctica o imposible de lograr y / o mantener con el tiempo. La seguridad es la reducción del riesgo, no la eliminación del riesgo; se trata de utilizar todos los controles apropiados a su disposición, dentro de límites razonables, que le permitan mejorar su exposición general, reduciendo las posibilidades de convertirse en un objetivo y, por lo tanto, de ser pirateado.

Es por eso que hoy queremos enseñarle cómo hacer para proteger la seguridad en WordPress, y velar para que su sitio no esté vulnerable sino con el mínimo riesgo.

Lo más importante de todo

Aunque nos gustaría decirle que no, sabemos que nada es perfecto, y WordPress no es la excepción, por ello esta plataforma no es 100% segura.

Usted y yo sabemos que quien inventó las reglas, también inventa las trampas, por eso quienes se dedican a ello están constantemente innovándose para descubrir nuevas fallas en plugins que lo metan en problemas serios; sin embargo, pierda cuidado, porque haya una gran cantidad de cosas que usted puede hacer para minimizar este riesgo.

No obstante, le adelantamos que aunque nosotros le podemos ayudar sobremanera, la seguridad requiere de un esfuerzo constante, es por ello que usted debe mantenerse atento a ella, y no bajar la guardia, porque eso sería darles oportunidad a las personas inescrupulosas.

¿WordPress es inseguro?

Al igual que usted, muchas personas se hacen esta pregunta, y es apenas razonable, porque es la plataforma que emplean para su sitio web; pero permítanos decirle que no es menos seguro que cualquier otra, pero teniendo en cuenta cómo nos enfoquemos en WordPress, podremos disfrutar de él, y mantenerlo libre del ataque de los mal intencionados.

Si usted es de los que nunca está pendiente de la seguridad WordPress, porque su tema es pirata, o porque tiene como contraseña el popular 1234, y para rematar no cuenta con un antivirus eficiente, es posible pensar que también deja las llaves de su auto puestas y el motor en marcha, cuando se baja a pagar un servicio. Usted es una víctima en potencia en ambos casos, es decir, que está pidiendo a gritos que lo hackeen.

El eslabón más débil eres tú

Ya estamos claros y hemos aceptado que la seguridad de WordPress no está al 100%, pero si además de ello no nos preocupamos en tener un sitio menos susceptible, estamos colaborando para que llegue cualquier principiante de hacker y haga estragos en nuestro sitio web; es necesario poner manos a la obra para proteger nuestra página.

Cuidado con su conexión a Internet

¿Cómo se conectas a internet? Esta es una de las preguntas básicas que debemos hacerle, porque desde todo punto de vista, es mucho mejor que usted trabaje conectado por cable ethernet en lugar de wifi; pero si no tiene más remedio que hacerlo, es súper importante que utilice la seguridad WPA-2, y por supuesto, que emplee una contraseña segura. De inmediato, debe cambiar la contraseña de acceso que trae por defecto el router.

Otra de las cosas que puede hacer para contribuir con la seguridad de WordPress, es desactivar WPS cuando está utilizando la conexión wifi, porque si usted no lo sabía, al tenerlo activado, esto le permite a los inescrupulosos robarse la contraseña de su conexión más fácilmente.

En la medida de lo posible, evite conectarte a tu WordPress desde equipos externos que no conozca o poco fiables, como por ejemplo el ordenador de la recepción de un hotel.

Wifi gratis: alto precio en seguridad

Aunque es muy tentador usar las redes abiertas de wifi que en ocasiones están disponible, no es aconsejable para nada que usted lo haga, porque como le comentamos en el título de este apartado, esto representa un alto precio en cuestión de seguridad de WordPress.

Pero suponiendo que su vida, o para no ser tan extremistas, su trabajo depende de ello, le recomendamos que antes de hacerlo conéctese a través de una VPN de confianza; y nuevamente le reiteramos, que mantenga su equipo o portátil protegido con un antivirus y firewall actualizados.

En la actualidad existen diversas soluciones de seguridad WordPress en donde los antivirus añaden una VPN privada, lo que representa una excelente opción para usted; pero además de ello, también tiene la oportunidad de  contratar un servicio específico de VPN para que todas tus conexiones estén encriptadas.

Si usted tiene que estar constantemente viajando fuera de casa, o requiere visitar muchos clientes en su día a día, es muy recomendable que utilice la VPN, porque esto le permitirá aumentar mucho su seguridad de WordPress; pero tenga presente, que la mejor manera de proteger su sitio web, es utilizando la conexión 4G de su móvil, aunque esto le genere más gastos, que utilizar una gratis que usted desconoce.

¿Proxy? No, gracias

Por ningún motivo y bajo ninguna circunstancia navegue a través de un proxy, y si es gratis, menos. Sepa que cuando usted utiliza un proxy, todo tu tráfico pasa por un servidor de alguien a quien no conoce; y aunque usted pueda pensar que en Internet promocionan muchos sitios en los que le aconsejan el uso de un proxy para poder navegar de manera anónima, lo están haciendo para poder robarle sus datos privados, piense, nunca anónimo va significar seguro.

SSL para encriptar datos

Esto sí es algo que usted debe hacer, porque al  instalar un certificado SSL en su sitio web y acceder a través de la vía HTTPS, todos los datos que usted introduzca viajan encriptados y protegidos por la red; de esta manera, si existe un hacker que en ese momento esté conectado en su misma red, no podrá apoderarse de sus datos, porque al estar encriptada su información, este sólo podrá ver caracteres sin ningún sentido.

Quizás esté pensando que este es un gasto adicional, pero pierda cuidado, porque no requiere que adquiera el certificado más costoso, puesto que con uno estándar de RapidSSL puede solucionar de igual manera; y si no cuenta con presupuesto de momento, también le podemos recomendar la opción gratuita que te ofrece Let’s Encrypt.

Usa contraseñas seguras

Como le mencionamos al inicio de este post, si usted utiliza como contraseña 1234, su propio nombre, la fecha de su cumpleaños, y otras igualmente predecibles, está pidiendo a gritos que lo hackeen, porque no tienen ningún grado de dificultad.

Al igual que se lo indican la mayoría de los bancos, una contraseña para considerarse segura,  debe contener mayúsculas, minúsculas, números y caracteres especiales, el que usted desee, desde una coma, hasta el arroba o cualquier otro signo, pero debe formar parte de su password.

Continuando en este mismo orden de ideas, esta debe tener una longitud considerable, por lo que se recomienda que para que una contraseña se brinde la seguridad a WordPress, esta debe contar con al menos 12 caracteres; pero si a usted le resulta difícil recordar una contraseña tan larga, le podemos aconsejar que cree una incluyendo datos comunes o familiares, como el nombre de un hermano, y el año de nacimiento de su hija, más los caracteres especiales.

• Un ejemplo de una buena contraseña podría ser 08/12Daniel@*#

No importa si usted emplea una contraseña más larga que esta, o de 12 caracteres exactamente, lo que sí es aconsejable, es que emplee un segundo factor de autenticación, porque ambas tienen el mismo índice de vulnerabilidad, es por ello que no le debe facilitar el trabajo a los hackers.

Cuando usted utiliza la autenticación, está doblando la seguridad de WordPress; por eso le aconsejamos que lo emplee con los gestores de contraseñas, pero sobre todo con su email, ya que es a través de este que usted recibe datos importantes como la recuperación de su contraseña, así como documentos y recordatorios que suelen enviarse por correo electrónico.

Tu equipo

No sólo se trata de la seguridad de WordPress, sino también del equipo con el que usted acostumbra trabajar, porque si este no está en perfecto estado, no le va obtener de él un óptimo rendimiento.

Protege tu equipo

Es súper importante hacerle mantenimiento a los equipos de trabajo que emplea para acceder a la plataforma de WordPress, para mantenerlos no sólo limpios de virus, sino también protegidos de hackers.

Son muchas las personas inescrupulosas que descubren una ventaja en los usuarios que acceden a la plataforma de WordPress, a través de un equipo hackeado. Una vez que usted introduce su clave de acceso en un equipo que ha sido hackeado, los malhechores obtienen sus datos, y a partir de ahí ya no hay nada que pueda hacer para mantener la seguridad de WordPress. Por eso es nuestra recomendación de realizar un mantenimiento constante a sus equipos de trabajo.

Sistema operativo y navegador actualizado

No sea como la mayoría de las personas que como su sistema operativo le funciona bien, no se preocupan jamás en actualizarlo; esto está muy mal, por favor, es necesario que mantenga tanto el sistema operativo como su navegador actualizado, porque es muy perjudicial para la seguridad de WordPress, navegar con navegadores obsoletos.

Esto no requiere de un esfuerzo extra, sólo tiene que configurar las actualizaciones automáticas, y de este manera se asegura de estar al día, sin tener que estar haciéndolo manualmente; de igual manera, es necesario que se exima de utilizar cualquier web sospechosa para navegar, porque la mayoría de ellas, lo que desean es que usted instale programas no deseados en su equipo.

Siempre le recomendamos a nuestros lectores, que si van a descargar un programa lo hagan directamente desde la página de sus desarrolladores; porque cuando usted emplea sistemas operativos que no son originales, o programas procedentes de aplicaciones P2P o de páginas de descargas, tenga por seguro que oculto y sin que usted lo note, le estarán invadiendo una tropa de troyanos muy malintencionados.

Antivirus y firewall

Es imperiosa la necesidad de contar con un excelente antivirus y un firewall actualizados, porque si usted comete el error de no actualizarlos, no estará protegiendo la seguridad de WordPress, ya que esto es similar a tener mamá, pero en el cielo.

Si usted quiere velar por la seguridad de WordPress, es necesario mantener  activadas las opciones de firewall y análisis de seguridad por defecto del antivirus; pero además de ello, debe realizar una exploración completa de su equipo de trabajo, al menos una vez a la semana.

En el caso que como nosotros utilice Windows, tiene la ventaja que puede utilizar Windows Defender y utilizar el firewall de Windows que ya viene incorporado.

Control de usuarios

Una estrategia muy sencilla pero también muy efectiva, es ingresar al equipo con un estatus de usuario con privilegios; ya que al no ser reconocido como el administrador del sistema, se hará mucho más difícil que sean instaladas aplicaciones que no desea en su portátil. En caso que requiera que otra persona tenga que utilizar su máquina, le recomendamos que por su seguridad, cree usuarios invitados o con permisos restringidos.

Control de accesos

Teniendo en cuenta lo expuesto en el apartado anterior, también le recomendamos que emplee distintos passwords para los diferentes accesos que utiliza administración de WordPress, Webmail, FTP y para el acceso al panel de control del hosting; recordando que esta debe ser por supuesto, segura.

Por ningún motivo debe utilizar FTP, ya que es muy común que los hacker infecten equipos para obtener datos guardados de acceso FTP y así poder acceder al panel de control del hosting; por eso lo más recomendable, es que usted emplee SFTP o FTPS, para que de esta manera quede cifrado su tráfico cliente/servidor.

Aísle su entorno de trabajo

Con seguridad usted se estará preguntando ¿Qué puedo hacer sí solo dispongo de mi portátil? Pierda cuidado, porque en este caso, usted puede valorar la posibilidad de trabajar con una máquina virtual, porque de esta manera puede aislar su entorno de trabajo; y lo mejor de ello, es que la brinda la oportunidad de diferenciar sus cosas personales de las profesionales, que por lo general nada tiene que ver una con la otra.

Cuidando de tu WordPress

Ahora que ya sabemos cómo proteger nuestro equipo, y qué medidas tomar para utilizar el equipo en donde vamos a gestionar la plataforma, es momento de conocer a fondo cuál es el cuidado específico que debemos tener con nuestro WordPress, para que nos pueda brindar un óptimo funcionamiento.

Mantenga siempre a la última su WordPress

Aunque muchas personas se casan con la primera versión de un software que descargan, esta es una mala manera de pensar, porque las nuevas versiones son creadas para brindarle nuevas funcionalidades al programa o aplicación; y esto por supuesto incluye la corrección de posibles problemas de seguridad que hayan sido detectados y evaluados para ofrecerle un mejor funcionamiento.

Por eso nuestra recomendación es que en la medida de lo posible mantengan actualizada su herramienta de trabajo, porque al no hacerlo, tal y como dijimos anteriormente, le está dando una oportunidad a los inescrupulosos, para sacar provecho de las posibles fallas de seguridad en WordPress, y atacarlos con mucha más facilidad.

Es de suma importancia que cada vez que las notificaciones le indiquen que existen nuevas actualizaciones, usted las realice; porque no tiene ningún grado de dificultad, y además no le va quitar más de 5 minutos de su tiempo.

En un caso dado que usted no pueda su versión de WordPress desde la administración de Internet, no se preocupe, porque también puede hacerlo de manera manual; pero antes de dar cualquier paso, es necesario hacer una copia de seguridad de WordPress, porque con ello se va a ahorrar muchos dolores de cabeza.

Los plugins son maravillosos, ¡cuídelos!

¿Sabía que la mayoría de los ataques dirigidos a la seguridad de WordPress se hacen a través de sus plugins? Es por esta razón que siempre está entre nuestras recomendaciones, realizar una copia de seguridad WordPress al mejor plugin, antes de realizar las actualizaciones; ya que como dijimos antes, esto ayuda en gran manera a mantener la seguridad de la plataforma.

Tal y como sucede con el WordPress en sí, usted puede actualizar sus plugins desde la administración automáticamente, pero también lo puede realizar de manera manual.

Limita el uso de plugins

En este mismo orden de ideas, le aconsejamos que sólo instale los plugins que realmente son necesarios para su sitio web, porque está demostrado por los especialistas en esta materia, que cada uno de ellos es una puerta de entrada para hackear su WordPress; lo que quiere decir, que mientras más plugins instalados tenga, más puertas abiertas tendrá. Por eso nuestra recomendación, y si por algún motivo ya no le es más útil un plugin, deshágase de este, y réstele la oportunidad de entrar por allí a un hacker.

Es más que obvio que debe utilizar plugins fiables, para ello existe un buscador que le facilita el propio WordPress, pero también puede descargar los que le ofrece la página oficial. No se ponga a probar con desconocidos que le resulten más económicos, porque casi siempre lo barato sale caro.

Cuando se trata de un plugin por el que tiene que cancelar, debe tener la seguridad que lo está haciendo desde la página de sus desarrolladores, ya que si lo hace desde un desde un torrent (red P2P) u otra página sospechosa, lo más seguro es que le sorprendan con un troyano, y otro código malicioso; como ya le dijimos, lo barato sale caro; y nunca un plugin va ser tan costoso como para que tenga que comprarse un nuevo disco duro por ejemplo.

Si usted de todas maneras quiere probar con un plugin gratis, le aconsejamos que realice un clon de su web para que pueda ponerlo a prueba; bajo ningún concepto lo haga en su web real, porque si sufre algún tipo de daño, este será irreversible.

Para que la seguridad de WordPress sea mucho más efectiva, le recomendamos que instale el plugin Security Scanner, porque con él usted sabrá gracias a sus notificaciones, cuáles son las vulnerabilidades que pueden aparecer en los plugins de su plataforma.

Cuida el tema que estés utilizando

No es relevante si usted se decanta por los temas gratuitos, o si por el contrario prefiere utilizar los pagos, lo que realmente es importante, es que siempre utilice la más reciente versión que esté disponible.

En el caso que usted esté empleando un tema que se encuentre en el directorio de wordpress.org, no tiene ningún problema, porque las actualizaciones se mostrarán de forma automática en la administración de WordPress; cuando se trata de temas gratuitos o que fueron descargados desde otras páginas, es un poco más engorroso, porque debe comprobar de forma periódica, para ver si existen nuevas versiones que puedan corregir un posible problema de seguridad de WordPress.

Pero tenga presente que nunca, jamás, debe emplear temas que no provengan de sus desarrolladores, y mucho menos que los haya descargado de páginas sospechosas, porque como ya le dijimos, pueden ser un arma letal para su sitio web. Háganos caso, y propóngase a instalar únicamente los temas procedentes de wordpress.org o de la web de sus desarrolladores.

Usuario admin, NO gracias

Nunca utilice el usuario admin para ingresar en la administración de su WordPress, tenga presente que este es el empleado por defecto, por lo que si un hacker quisiera acceder a su sitio, esto es lo primero que va colocar, pensando que quizá sea tan ingenuo que le dejó esa clave; y sorpresa, ya está adentro.

Como le recomendamos al inicio de este post, lo mejor es que usted cree un nuevo usuario con privilegios de administrador, aunque esto le lleve un poco más de tiempo, y no olvide seleccionar una contraseña segura, que al menos le cueste trabajo descifrar al hacker.

Una vez realizado este paso, debe cerrar su sesión y volver a conectarse, pero esta vez con el usuario que acaba de crear.

Luego debe acceder al gestor de usuarios, para editar el usuario admin, cambiando sus privilegios de administrador por el de suscriptor; o si lo prefiere, puede eliminarlo de una vez por todas. Pero eso sí, debe percatarse de reasignar las entradas y páginas a otro usuario existente si así lo requiere.

Cuando usted realiza este paso, se lo está poniendo realmente difícil a quien desee entrar con artimañas, ya que no sólo tendrá que descifrar la contraseña de un usuario administrador, sino también su nombre.

Realiza backups periódicos y automatizados

Por si usted no lo sabe, un backups son copias de seguridad WordPress, o respaldos que se crean por si sucede cualquier evento adverso, no se pierda información importante; por lo general, ciertos proveedores de hosting o alojamiento realizan sus propias copias automáticamente, sin embargo, no está de más que usted realice la suya para evitar cualquier tipo de inconveniente.

Dependiendo de la cantidad de información que usted maneje, tendrá que realizar copias de seguridad con mayor o menor frecuencia; no obstante, es aconsejable realizar una antes de comenzar cualquier acción como actualización de plugins o WordPress, la instalación de nuevos plugins, cambios en la base de datos, entre otros, porque de esta manera, si llegase a suceder cualquier imprevisto, no perderá su trabajo.

En la actualidad, la seguridad de WordPress cuenta con plugins que le permiten realizar un backup automáticamente; sin embargo, es súper aconsejable que usted realice este procedimiento empleando para ello un almacenamiento externo como Dropbox, cuentas FTP externas o Amazon S3, entre otros; o en su defecto, también puede descargar la copia realizada, porque si por algún motivo se llegasen a borrar los datos de la web, también su backup sería irremediablemente borrada.

Por ello lo mejor es guardarlas en un almacenamiento externo, y una vez que haya descargado su copia de seguridad, puede eliminarla de su cuenta de hosting y de esa manera liberar espacio.

Limita los intentos de acceso fallidos

Los usuarios inescrupulosos siempre están buscando una nueva manera de acceder a la administración de WordPress, y uno de sus ataques más comunes son los que realizan a través de la fuerza bruta.

¿Qué quiere decir esto? Este tipo de ataque consiste en probar todas las combinaciones posibles de usuario contraseña, para ver cuál de ellos le permite el acceso al administrador de WordPress. Por lo general, los hackers utilizan diccionarios de contraseñas; y es por ello nuestro consejo reiterado para que usted emplee passwords complejos, robustos, y difíciles de descifrar.

Asimismo es una buena idea limitar el número de intentos de conexión fallidos desde una única dirección IP, ya que de esta manera, se reduce considerablemente el riesgo de sufrir un acceso no deseado, puesto que al agotar el número de intentos, tendrán que desistir, y buscar otra plataforma que sea más vulnerable.

Al igual que sucede con la actualización, existen plugins que le permiten configura un límite de acceso automáticamente, pero si lo prefiere, también lo puede realizar de manera manual.

Protección adicional con Captcha y doble autenticación

Esta es otra excelente idea es utilizar captcha de autenticación, porque de esta manera se le está añadiendo un paso más a quienes desean quebrantar la seguridad de WordPress.

Administración de WordPress

Asimismo es recomendable proteger el acceso a la plataforma empleando un formulario de autenticación con captchas, y de esta manera se evita ser atacado por un spam; no obstante, también puede emplear el plugin Akismet, que viene instalado por defecto en la plataforma de WordPress.

Asegúrese de mantener los usuarios imprescindibles y con privilegios mínimos

¿Recuerda que al inicio del post le sugerimos que podía crear usuarios con privilegios de administrador? Nuevamente le reiteramos que tenga en cuenta crearles una contraseña robusta, para evitar con ello comprometer la seguridad de WordPress; cuando usted le concede sólo los privilegios necesarios, esto se traduce en la reducción de las posibilidades de que la seguridad de su plataforma sea violentada.

Pero no se preocupe ni se angustie por ello, porque con tan solo resetear todas las contraseñas de usuarios de su WordPress, puede acabar con este problema; lo que sí debe tener presente, es revisar con frecuencia, cuáles son los usuarios que están activos, y eliminar lo que no, o los que ya no deben tener acceso a su plataforma de WordPress.

Ocultar la versión de WordPress

Las personas que se dedican a hacer lo malo, se comprometen realmente con su trabajo, por ello saben cuáles son los puntos vulnerables de las versiones de WordPress, y cómo sacar provecho de ello. Por eso, lo más recomendable es que usted oculte esta información, para ponerle la situación más difícil a los hackers, porque de esta manera, al no conocer de qué versión se trata, les costará más trabajo saber cuál es su punto débil.

Si se está preguntando en este momento ¿Cómo oculto esa información si ni siquiera sé en dónde está? Despreocúpese, porque gracias a la función wp_head(), que incluye una llamada a la función wp_generator,  usted puede conocer cuál es la versión que está utilizando; y para ocultar esa información que solo le interesa a usted, solo tiene que incluir en el archivo functions.php de su WordPress, remove_action(‘wp_head’, ‘wp_generator’); y listo.

Audita tu WordPress

Para este paso es necesario contar con diversas herramientas que le van a permitir verificar distintos apartados que tienen relación con la seguridad de WordPress. Por ejemplo, Webempresa a través de wpdoctor.es. le brinda de manera gratuita el más completo análisis de seguridad para su plataforma; ya que con ella usted podrá comprobar si está al día con respecto a

• El tipo de versión que está utilizando de WordPress, y si cuenta con los plugins más importantes para su plataforma.
• La protección contra ataques de fuerza bruta, que permiten violentar el acceso al administrador
• La información que posee su instalación, y cómo puede ocultarla si así lo desea

La primera línea de defensa: El Hosting

¿Hay  algo más preocupante que la idea de ver todo su trabajo completamente borrado de un ciberataque?

Probablemente se esté preguntando ahora por qué un pirata informático debería estar interesado en atacar su sitio web hoy en día, la mayoría de los ataques cibernéticos intentan usar el servidor del sitio para generar spam y cargar archivos ilegales.

¿Sabía usted que hay un ataque de piratas informáticos cada 39 segundos? Aunque usted no lo crea, el  43% de los ataques cibernéticos se dirigen a las pequeñas empresas, y se estima que el 54% de las empresas han tenido al menos un ciberataque en los últimos 12 meses.

Si un hacker obtiene acceso a su sitio web o servidor, puede tomar muchas medidas, como

• Infectar su sitio con malware y causar daños graves
• Robo de datos confidenciales, como detalles de tarjetas de crédito, contraseñas y datos personales para ser utilizados para el fraude de identidad
• Subir contenido ilegal a su sitio web
• Iniciar ataques en otros sitios web que causan innumerables problemas

Por ello debemos hacer todo lo que esté en nuestras manos, para garantizar la seguridad de WordPress

Seguridad en Hosting WordPress

Conociendo todos los problemas que nos acarrea el no contar con las medidas de seguridad apropiadas, usted debe estar al tanto de las medidas de seguridad que necesita aplicar para minimizar el riesgo

Lo primero que hay que tener en cuenta es que de nada le sirve velar por la seguridad de WordPress, si su hosting o alojamiento es literalmente una porquería. En primer lugar, su servicio de alojamiento o hosting, como lo prefiera llamar, tiene que estar en la capacidad de proporcionarle los diferentes elementos de seguridad; pero para ello usted también debe seguir las siguientes recomendaciones.

Usa un proveedor de hosting profesional

Antes de adquirir el servicio de hosting, lo primero que usted debe verificar son las características que le ofrece la empresa; y por supuesto, es necesario que se asegure que la seguridad es primordial y su principal prioridad, si no puede satisfacerlo en esto, es mejor que busque otro.

Sistema Operativo

Aunque la mayoría de las personas se decanta por Windows porque es mucho más comercial, nosotros le recomendamos ampliamente Linux, porque aunque ambas presentan problemas de seguridad, esta plataforma tiene una gran ventaja frente a la primera, y esto es gracias a la comunidad de desarrolladores con los que dispone.

No le vamos a mentir diciéndole que esta plataforma está libre de riesgos, no; sin embargo, tiene la capacidad de solventar cualquier problema de seguridad de manera eficaz y eficiente, y con una respuesta mucho más expedita que Windows.

¿Su hosting está al día en seguridad?

Si usted no tiene ni la más mínima idea de lo que le estamos hablando, no se preocupe, porque ya mismo le indicamos ciertas medidas que debe tener en cuenta en un servicio de alojamiento compartido.

Primero y principal, los permisos correctos de tu Hosting deben ser

• 644 para archivos
• 755 para carpetas

Si no Si no los tienes así por defecto, permítanos decirle que le urge cambiarse de alojamiento.

Debe tener un uso de sistema de alojamiento por cuenta del hosting, esto es con el fin de que si por alguna eventualidad es hackeado o tienen un mal funcionamiento, esto no afecte al resto.

Uso de aplicaciones de monitorización en tiempo real

De igual manera, el uso de sistemas para evitar Ataques de Denegación de Servicio (DDoS)

Estar prevenido ante cualquier ataque de fuerza bruta a WordPress

Web Application Firewall, major conocido como WAF, para poder establecer las reglas de seguridad; de esta manera, si cualquiera de los plugin de su plataforma se encuentra vulnerable, WAF está en la capacidad de evitar el ataque.

Configuración a nivel de servidor, con el fin de evitar que cualquier usuario tenga acceso a los archivos de una carpeta de su sitio web, o en el peor de los casos, que pueda averiguar cuál es la versión de PHP, que dicho sea de paso, compromete gravemente la seguridad.

Protección de las bases de datos

Puerto MySQL cerrado, y en caso que requiera acceder desde otro lugar, que sólo se habilite el acceso a su IP; por lo que va necesitar una dirección IP fija, o en su defecto una cuenta de DynDNS

De la misma manera que sucede con WordPress y sus plugins, es súper importante contar que el software que usted esté utilizando esté actualizado, porque tal y como sucede con ellos, es muy factible que las antiguas también presentes fuertes niveles de vulnerabilidad.

Tal y como le comentamos antes, las copias de seguridad de WordPress siempre será un valor añadido de los servicios de alojamiento, porque si llegamos a tener problemas de violación o pérdida de datos, esta no permite contar con un respaldo; lo que nos permite volver sin ningún problema a un estado estado anterior de nuestro sitio web.

Sin embargo, debe tener presente y ser un poco más precavido, ya que aunque el servicio de hosting le proporcione una copia de seguridad, lo más recomendable es que usted también realice su propio backup. También debe saber que no es necesario que su backup se corresponda con la fecha exacta del estado de la web que necesita recuperar.

Estas son tan solo algunas de las medidas que usted puede poner en práctica para velar por la seguridad de WordPress; y además puede monitorizar sus servicios, para estar alerta cuando reciba una notificación sospechosa, y no perder tiempo para actuar.

Debe estar al corriente de las nuevas formas de ataque empleadas por los hackers para vulnerar la seguridad de WordPress; esto debe ser una tarea constante, porque es la única manera de ir a la par con estas personas inescrupulosas que no pierden tiempo con tal de lograr su fin.

Para usuarios medio y avanzados

Son muchas las medidas de seguridad que se pueden realizar para proteger la seguridad de WordPress, pero si usted es un asiduo usuario de esta plataforma, tenemos la certeza que desea seguir aprendiendo todo sobre ella; y por ello le queremos regalar algunas mejoras adicionales que puede aplicar para mejorar la seguridad de su sitio web.

Active la actualización automática en su WordPress

¿Sabía que en la versión 3.7 de la plataforma se realizaron mejoras? De esto es lo que hablamos, hay que estar pendientes de todos los detalles, porque si usted no sabe que WordPress añadió la actualización automática, ¿cómo la va utilizar?

Si usted está al tanto de ello, sabrá que al mantener esta opción activada, se asegura de actualizaciones de seguridad se instalen tan pronto como estén disponibles; asimismo puede configurarlas automáticamente desde el fichero wp-config.php, con tan solo añadir

• //Todas las actualizaciones del núcleo desactivadas define( ‘WP_AUTO_UPDATE_CORE’, false ) //Todas las actualizaciones del núcleo activadas define( ‘WP_AUTO_UPDATE_CORE’, true )
• //Sólo actualizaciones menores del núcleo activadas define( ‘WP_AUTO_UPDATE_CORE’, ‘minor’ )

Es recomendable que cuando vaya a actualizar los plugins y plantillas lo realice de forma manual, porque al ser tan sensibles, esto podría acarrear errores en Internet, si no se verifica muy bien la compatibilidad con la versión de WordPress.

Modifique la url de login de su WordPress

Si usted tiene una página web realizada con WordPress, debe saber que el acceso a la administración se hace por defecto en la dirección URL http://midominio.com/wp-admin o http://midominio.com/wp-login.php; es por ello que los hacker saben que esto es una constante, y por eso no dudan al tratar de descifrar el contenido lanzando sus ataques de fuerza bruta que ya le comentamos anteriormente.

Con tan solo modificar esta dirección URL que le permite el acceso a la administración, usted puede evitar los intentos de ataque por parte de los hacker y otras personas inescrupulosas.

Proteja los archivos que pueden comprometer la seguridad de su web

Como bien lo sabe, WordPress cuenta con diversos archivos de vital importancia que pueden comprometer la seguridad de su sitio web; unos son añadidos por defecto con la instalación de la herramienta que son informativos, pero el contenido de los mismos, puede resultar de utilidad para aquellos que desean apropiarse de lo ajeno.

Proteja su base de datos cambiando el prefijo de las tablas por defecto

¿Qué es eso de la base de datos? Tan sencillo como que es el lugar en donde usted guarda la información concerniente a la instalación de su plataforma, casi nada ¿verdad? Por eso es que la mayoría de los hacker enfilan su ataque a este objetivo, enviando códigos automatizados para poder acceder y hacerse con todos sus datos.

Son muchos los usuarios incautos que pasan por alto cambiar el prefijo de base de datos al instalar WordPress, por lo que le dejan la puerta abierta a los ladrones para que realicen un ataque masivo al acceder sin mayor dificultad al prefijo wp, que es el empleado por defecto por todas las tablas de bases de datos.

No sea como estos incautos, y póngase las pilas para cambiar este prefijo wp que trae por defecto la instalación de la plataforma; y en caso que ya lo tenga instalado, pierda cuidado, porque usted puede cambiarlo con facilidad con tan solo utilizar el plugin Change DB Prefix.

Tenga presente antes de realizar cualquier cambio, que debe realizar una copia de seguridad, para evitarse males mayores.

Protege el archivo wp-login.php

Si usted no tiene permitido el registro y acceso de usuario en el portal de su plataforma, le aconsejamos que proteja el acceso al wp-login.php, o en su defecto, piense en la posibilidad de permitir el acceso desde IPs autorizadas. Pero tenga en cuenta que este paso solo es necesario cuando los visitantes de su página web no requieren de una identificación de usuario.

Por ejemplo, si su negocio es un e-commerce, no es necesario que proteja el archivo wp-login.php.

Agrega una cabecera X-Content-Type

Esta es una excelente estrategia, ya que con ella usted puede evitar que los usuarios que intenten suplantar archivos css o js por ejecutables.

Instala algún plugin de seguridad para WordPress

Con esta función usted podrá incrementar la seguridad de WordPress en diversas maneras, ya que ello le va permitir proteger el acceso a la administración; y por si esto fuera poco, también puede revisar los archivos de la plataforma con la finalidad de conseguir cualquier tipo de código malicioso, nocivo o perjudicial para su sitio web.

En la actualidad, hay una gran cantidad de opciones, como Wordfence e Ithemes Security (antes conocido como Better WP Security).

Esta le permite la verificación de ficheros básicos de la plataforma, que se emplean para comprobar si estos han sufrido alguna modificación.

Pero le aconsejamos tener precaución y sumo cuidado en la configuración de este plugin, porque es posible que bloquee su acceso si no tiene el conocimiento requerido para este tipo de herramienta.

Por eso le reiteramos una vez más, que realice una copia de seguridad antes de instalar un plugin de este tipo o realizar cualquier otra acción; porque esto es lo único que le va garantizar volver al estado anterior en caso de tener problemas.

¡No se vuelvas loco con la instalación de plugins!

No piense que por tener todos los plugin de seguridad  habidos y por haber va tener un sitio web mucho más seguro, no; es más, es muy factible que se presenten problemas inesperados provocados por esta acción, y dejar sin efecto a archivos que sí son claves para  el funcionamiento de tu WordPress, como puede ser el archivo .htaccess por ejemplo. Además recuerde, que al principio le recomendamos limitar el uso de plugins, porque  cada uno de ellos es una puerta de entrada para hackear su WordPress; lo que quiere decir, que mientras más plugins instalados tenga, más puertas abiertas tendrá.

Agrega una cabecera X-Frame-Options

Al igual que la cabecera X-Content-Type, esta es una excelente estrategia, porque con ella usted puede evitar que su sitio web cargue en un frame o iframe (marcos); asimismo, podemos evitar ataques de tipo clickjacking, lo que quiere decir, que no se podrá suplantar su página web, así sea cargada desde una ubicación externa.

Si usted no agrega una cabecera X-Frame-Options, un hacker puede colocar su contenido en otro dominio, y causarle problemas de contenido duplicado con Google.

Agrega una cabecera X-XSS-Protection

Continuando en la onda de las cabeceras, esta es otra que le permite incrementar la seguridad de WordPress frente a un ataque de tipo XSS; pero para ello usted puede añadirla a través del archivo .htaccess o con el functions.php, pero debe percatarse que trabaje según lo esperado.

En el caso que usted note que está afectando de alguna manera el funcionamiento de su sitio web, solo tiene que eliminar el código, añadido para revertir el cambio.

Le reiteramos una vez más, que realice una copia de seguridad antes de editar o realizar cualquier otra acción; porque esto es lo único que le va garantizar volver al estado anterior en caso de tener problemas.

Protección extra mediante el fichero .htaccess

El archivo .htaccess en WordPress, cargado en el directorio raíz de su sitio, se usa en servidores que funcionan con el software Apache Web Server. Este programa detecta y ejecuta automáticamente archivos .htaccess cargados en los directorios del sitio web.

Puede editar el archivo y, a través de comandos específicos, habilitar o deshabilitar funciones que le permiten proteger su sitio contra spam, piratas informáticos y otras amenazas; las características incluyen redirecciones básicas (por ejemplo, en caso de error 404), bloquear el acceso a archivos específicos, establecer una contraseña para proteger el contenido y desactivar el enlace directo.

Como ya le hemos dicho en este post, es necesario que realice una copia de seguridad antes de editar el archivo .htaccess de WordPress

Hemos subrayado en varias ocasiones la importancia de hacer una copia de seguridad del sitio antes de modificar sus elementos fundamentales,  en el caso del archivo .htaccess de WordPress, esta recomendación se vuelve particularmente importante porque un solo error de sintaxis puede conducir a romper el código de todo el sitio.

Obviamente, solo prepare y haga una copia de seguridad antes de tocar el archivo. Por lo tanto, en caso de errores, puede restaurar rápidamente sus archivos y evitar perder horas y horas de trabajo.

Incluso si tiene suficiente experiencia, lo mínimo que debe hacer es descargar una copia del archivo .htaccess de WordPres en su computadora, para que pueda restaurarlo en caso de error. Para hacer esto en WordPress, acceda al cPanel, luego vaya a Archivos y luego seleccione Administrador de archivos.

En la ventana emergente Preferencias, marque la opción para mostrar los archivos ocultos y luego confirme guardando; de esta manera, cuando acceda a la carpeta raíz del sitio, podrá ver el archivo. Haga clic en él, luego seleccione la opción para descargarlo y guardarlo en su computadora.

Si necesita reemplazarlo en caso de error, solo tendrá que hacer clic en el botón Cargar y marcarlo para sobrescribir los archivos existentes, luego podrá seleccionar el archivo y abrir su copia local para cargarlo en el directorio y volver al administrador de archivos.

Cómo crear un archivo .htaccess en WordPress

Dependiendo de la instalación elegida, su sitio de WordPress puede no tener un archivo .htaccess. Obviamente en este caso, deberá crearlo antes de realizar los cambios.

Puede hacer esto directamente a través del cPanel. Use un editor de texto, como Notepad ++ o Windows Notepad, para crear un archivo llamado htaccess.txt.

Ingrese el código predeterminado esperado para las versiones de WordPress posteriores a 4.2. El código para instalaciones individuales es este:

# BEGIN WordPress

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteBase /

RewriteRule ^index.php$ – [L]

RewriteCond %{REQUEST_FILENAME} !-f

RewriteCond %{REQUEST_FILENAME} !-d

RewriteRule . /index.php [L]

</IfModule>

# END WordPress

Sin embargo, si ha activado Multisite en WordPress 3.5 o posterior, deberá usar el siguiente código:

RewriteEngine On

RewriteBase /

RewriteRule ^index.php$ – [L]

# add a trailing slash to /wp-admin

RewriteRule ^([_0-9a-zA-Z-]+/)?wp-admin$ $1wp-admin/ [R=301,L]

RewriteCond %{REQUEST_FILENAME} -f [OR]

RewriteCond %{REQUEST_FILENAME} -d

RewriteRule ^ – [L]

RewriteRule ^([_0-9a-zA-Z-]+/)?(wp-(content|admin|includes).*) $2 [L]

RewriteRule ^([_0-9a-zA-Z-]+/)?(.*.php)$ $2 [L]

RewriteRule . index.php [L]

Para proteger su archivo .htaccess de WordPress de los ataques, es importante establecer un nivel de permiso de 644. Este es el permiso predeterminado para archivos en WordPress. Como se explica en la documentación oficial, el primer número se refiere al acceso otorgado al usuario, el segundo al grupo y el tercero al resto del mundo. El 6 representa la facultad de lectura y escritura, mientras que el 4 indica solo la lectura.

Cómo hacer cambios en el archivo .htaccess de WordPress

Las líneas que comienzan con el símbolo «#» son comentarios y no se incluyen en las reglas. Recuerde copiar el código que encuentra arriba sin cambiar ninguno de los elementos encontrados entre los comentarios «# COMIENZA WordPress» y «# FIN WordPress».

Para instalaciones múltiples, se aplica el mismo principio de no cambiar nada, sin embargo, no hay comentarios de inicio y fin en el código; incluso si quisiera hacer cambios, es muy probable que WordPress los sobrescriba. Le recomendamos agregar sus cambios, delimitados por los comentarios iniciales y finales debajo del código predeterminado de WordPress.

De esta forma, el archivo se ordenará y podrá localizar fácilmente el código que agrega para cada regla adicional.

Puede editar el archivo .htaccess directamente en el cPanel, editarlo a través de FTP o descargarlo y realizar los cambios con otro editor de texto, como Microsoft WordPad.

Si decide editar el archivo en cPanel, hágalo. Una vez que haya iniciado sesión en cPanel, vaya a Archivo,  administrador de archivos y elija ver los archivos ocultos; luego vaya  al directorio raíz del sitio y haga clic en el archivo .htaccess, y seleccione Editar. Realice el primer cambio y luego haga clic en Guardar antes de salir; de lo contrario, todos los cambios se perderán.

Independientemente del método que elija, volver a cargar el sitio después de cada cambio le permite verificar que el sitio funciona correctamente. Si tiene problemas, restaure el archivo .htaccess original inmediatamente e intente nuevamente. Nuevamente le aconsejamos que haga una copia de seguridad del sitio y guarde una copia local del archivo por este motivo.

Si, por otro lado, el sitio funciona correctamente, puede continuar con la próxima modificación.

Ahora veamos algunos ejemplos de reglas que podemos aplicar a través del archivo .htaccess.

Prevenir el enlace directo de la imagen

Si los usuarios copian la URL de una imagen de su sitio y la usan para cargarla en su propio lugar en lugar de hacerlo a través de su servidor, usan su ancho de banda, ralentizando su sitio.

Puede evitar que terceros hagan esto agregando esta regla a su archivo .htaccess. Utilice el siguiente código, reemplazando «your-site.com» con el dominio de su sitio y https://www.your-site.com/hotlink.gif con la URL proteger:

RewriteEngine On RewriteCond %{HTTP_REFERER} !^$ RewriteCond %{HTTP_REFERER}

!^https://(www.)?your-site.com/.*$ [NC] RewriteRule .(gif|jpg)$

https://www.your-site.com/hotlink.gif [R,L]

Evita descubrir el nombre de usuario

Si un usuario ingresa la URL de su sitio web.com/?author=1, se lo dirige a la página del autor con la cual está asociada la ID numérica. De esta manera, el usuario puede encontrar todos los nombres de usuario utilizados por aquellos que publicaron contenido en su sitio.

Este es un detalle que puede ser útil para los piratas informáticos, que solo tendrían que encontrar la contraseña. Si el usuario ha elegido uno robusto, su sitio permanece protegido de las amenazas, pero si uno de los autores usa uno fácil de rastrear, el pirata de servicio tiene menos obstáculos.

Para evitar la enumeración de nombres de usuario, puede agregar esta regla

RewriteCond %{QUERY_STRING} author=d

RewriteRule ^ /? [L,R=301]

Restrinja el acceso a la sección Admin

Si usa una IP estática, puede limitar el acceso al tablón de anuncios del administrador utilizando esta regla

ErrorDocument 401 /path-to-your-site/index.php?error=404

ErrorDocument 403 /path-to-your-site/index.php?error=404

<IfModule mod_rewrite.c>

RewriteEngine on

RewriteCond %{REQUEST_URI} ^(.*)?wp-login.php(.*)$ [OR]

RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$

RewriteCond %{REMOTE_ADDR} !^IP Address One$

RewriteCond %{REMOTE_ADDR} !^IP Address Two$

RewriteCond %{REMOTE_ADDR} !^IP Address Three$

RewriteRule ^(.*)$ – [R=403,L]

</IfModule>

Las direcciones IP no autorizadas se enviarán de vuelta a la página de error 404. Recuerde reemplazar la ruta del sitio con la que usa, el dominio con el de su sitio y las IP con las diferentes que desea habilitar.

Si los usuarios tienen direcciones IP dinámicas o varios usuarios en la misma red necesitan acceder al sitio, puede usar esta regla:

ErrorDocument 401 /path-to-your-site/index.php?error=404

ErrorDocument 403 /path-to-your-site/index.php?error=404

<IfModule mod_rewrite.c>

RewriteEngine on

RewriteCond %{REQUEST_METHOD} POST

RewriteCond %{HTTP_REFERER} !^https://(.*)?your-site.com [NC]

RewriteCond %{REQUEST_URI} ^(.*)?wp-login.php(.*)$ [OR]

RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$

RewriteRule ^(.*)$ – [F]

</IfModule>

Hacer esto bloqueará el acceso al tablón de anuncios del administrador, de modo que solo aquellos que ingresen la URL manualmente en el navegador puedan acceder a ella. Los piratas informáticos siempre pueden intentar adivinar las credenciales de inicio de sesión de los usuarios manualmente, pero no podrán usar bots para hacerlo y esto reduce la cantidad de intentos de ataque.

Protección adicional mediante el wp-config.php

En el caso que usted desee prevenir que se pueda modificar el código de fiecheros desde la administración de la plataforma, puede incluir esta línea al fichero wp-config.php

define(‘DISALLOW_FILE_EDIT’, true)

En el caso que ya tenga creada su página web, y no requiera incluir nuevas plantillas o plugins, usted puede deshabilitar la instalación con tan solo añadir

define(‘DISALLOW_FILE_MODS’,true)

Deshabilitar XMLRPC para evitar ataques de DoS

Esta es una estrategia que se emplea regularmente cuando se requiere realizar ataques de denegación de servicios. Esto se logra a través de una localización oculta, en donde se procede a realizar una gran cantidad de solicitudes pingback a diversas plataformas, informando que en su página web han hablado sobre ellos.

Estas plataformas de WordPress se dan a la tarea de comprobar si efectivamente le ha enlazada descargando su página web, y cómo va recibir una gran cantidad de peticiones de descargas al mismo tiempo, y de diversos sitios, inmediatamente su web será bloqueada.

Pero no se desanime, porque usted puede evitar esto de dos modos

Cerrando por completo el comportamiento XMLRPC, lo que trae como consecuencia que usted pierda ciertas funcionalidades importantes como pingback y los trackback

También puede disponer de un Firewall Web (WAF) con el fin de protegerse del recuento de todas peticiones XMLRPC que recibe; pero si usted se está preguntando ¿Qué pasa si este número es demasiado grande?, en este caso, se bloquea todo el tráfico.

En el caso que usted decida deshabilitar XMLRPC, le recomendamos que lo haga manualmente añadiendo esta línea en su fichero functions.php add_filter(‘xmlrpc_enabled’, ‘__return_false’); o en su defecto, puede utilizar el plugin XMLRPC Disable.

Bloqueos por user-agent

Como ya hemos podido evidenciar, en ocasiones se requiere bloquear ciertas aplicaciones como es el caso de determinados robots; y para ello solo debemos establecer este bloqueo por user-agent en el fichero .htaccess, para así evitar el acceso de un user-agent determinado a su web.

Estos son algunos de los códigos que usted puede emplear para bloquear por user-agent RewriteEngine On RewriteCond %{HTTP_USER_AGENT} ^.*(Baiduspider|HTTrack|Yandex).*$ [NC] RewriteRule .* – [F,L] SetEnvIfNoCase user-Agent ^Baiduspider [NC,OR] SetEnvIfNoCase user-Agent ^Yandex [NC,OR] SetEnvIfNoCase user-Agent ^[Ww]eb[Bb]andit [NC,OR] SetEnvIfNoCase user-Agent ^HTTrack [NC]  <limit GET POST>  Order Allow,Deny  Allow from all  Deny from env=bad_bot  </limit>

Bloqueos por referer

En el mismo orden de ideas del apartado anterior, también en ciertas ocasiones puede ser necesario bloquear conexiones que han sido dirigidas desde un determinado referer; y para ello podemos emplear uno de estos códigos

RewriteEngine On RewriteCond %{HTTP_REFERER} example.com [NC,OR] RewriteCond %{HTTP_REFERER} example.net RewriteRule .* – [F]

SetEnvIfNoCase Referer «example.com» bad_referer SetEnvIfNoCase Referer «example.es» bad_referer   Order Allow,Deny Allow from ALL Deny from env=bad_referer

Cuando usted realiza este tipo de bloqueo, puede evitar el acceso a su sitio web, desde un enlace que esté ubicado en determinado dominio.

Crypto.php

Para concluir, dejamos una de las vulnerabilidades más conocidas, pero también más relevantes de la plataforma WordPress, y esto es debido a que afecta directamente a la seguridad de WordPress, y a sus plugins y plantillas no autenticadas por el repositorio oficial de wordpress.org.

Estos trabajan con plantillas y plugins que se han obtenido de manera ilícita, que tienen como finalidad añadir a su sitio web enlaces a otro sitios que generalmente están vinculados con  páginas que tienen fines malévolos.

De igual manera, esta es una especie de infección que tiene la capacidad de comunicarse con servidores de control, lo que le permite enviar spam, alojar cualquier tipo de contenido, y obviamente realizar brutales ataques a otros sitios web, con el fin de apoderarse de información y otros datos que le interesen.

Por lo general, esta infección se puede encontrar en una línea de código similar a esta

<?php include(‘assets/images/social.png’); ?>; que incluye un script que realiza un llamado a un código que se encuentra oculto en cierto fichero .png, y para sus efectos debería ser una insignificante e inofensiva imagen.

¿Cómo evitarla?

Tal y como se lo hemos dicho al principio de este post, usted solo puede estar a salvo siempre y cuando no descargue plugins ni plantillas de sitios no contrastados, sino que lo haga a través del repositorio oficial de WordPress.org.

Si lamentablemente usted ya se encuentra infectado, nuestro consejo es que instale el plugin de seguridad Wordfence que le recomendamos antes, porque este cuenta con una excelente opción que le permite analizar las imágenes como si de código php se tratara.

Asimismo le podemos recomendar que desconfíe si ve ficheros PHP en directorios donde se supone sólo debería conseguir imágenes, como directorio /wp-content/uploads.

Hasta aquí llega nuestro largo post de consejos y recomendaciones que debe seguir para proteger la seguridad de WordPress, sólo le resta poner en práctica lo que aprendió con nosotros, para que su plataforma le pueda brindar un óptimo funcionamiento.

Si le ha gustado esta lectura, también le podemos recomendar

La política de cookies en WordPress

cambiar el idioma de WordPress

insertar el Iframe en WordPress