WordPress es la plataforma WEB más extendida del mundo. Miles de usuarios profesionales y amateurs la usan para blogs y para webs empresariales sin saber que la mayoría de sus webs están hackeadas o lo estarán pronto sin que se enteren. Aprende aquí como mejorar la seguridad de tu wordpress.
Algunos hackers borran en el portal web o lo utilizan para enlazar a sus propios portales (estrategias SEO). Cuando esto ocurre es fácil de detectar y poner solución (al menos si has sido previsor, si no lo has sido lo perderás todo y tendrás que empezar desde cero) pero… ¿qué pasa si está hackeada y no eres capaz de saberlo?
Utilizar tu servidor para mandar spam con el riesgo de que te incluyan en una lista negra (tendrás muchos problemas para enviar emails) o utilizarlo para hacer ataques a empresas organizaciones gubernamentales con los problemas legales que te pudieran sobrevenir por ello son otros de los peligros de tener tu web hackeada, amen de muchos otros problemas derivados de no cuidar la seguridad de tu wordpress.
Y es que hackear una web WordPress es mucho más sencillo de lo que pueda parecer. Con aplicaciones como WordPress Scan o similares, descifrar usuarios y contraseñas es cosa de niños. Y una vez que están dentro, acceder a los archivos del servidor con plugins como File Manager y enmascarar accesos para que no pueda saber que están ahí es realmente fácil. De hecho, ni siquiera es algo que se haga una por una sino que existen boots que rastrean y atacan páginas desarrolladas con gestores de contenidos como este de forma masiva. El aumento de este tipo de gestores de contenido para uso profesional está convirtiéndose en un problema de seguridad muy importante, sobre todo en entorno empresarial ya que la mayoría de agencias han optado sólo por esta vía de desarrollo web por su menor coste y mejor acogida en el mercado.
Además el marketing digital en los últimos años basa sus acciones cada vez más en plataformas cómo está por su sencillez y velocidad de implementación, por ejemplo en estrategias con páginas de aterrizaje con wordpress por lo que su uso se multiplica y con ello los riesgos.
La solución a este problema pasa por dos vías bien claras. Desarrollar páginas web con programación a medida, que es lo más seguro pues están desarrolladas con programación cerrada no conocida por los hackers. O bien implantar mejoras de seguridad wordpress con el fin de ponerlo más difícil a quien intente acceder a nuestro portal.
La primera vía es la más segura y profesional aunque con costes más altos. Si tienes un negocio y quieres estar plenamente seguro, optar por desarrollo a medida es lo ideal. No sólo mejorará tu seguridad sino también tu velocidad de carga y tu posicionamiento.
Si estas pensando en un portal a medida y necesitas ayuda CONTACTA CON NOSOTROS.
Si lo que queremos es seguir usando WordPress para nuestra web al menos debemos optimizarla y ser conocedores de las medidas mínimas que tenemos que llevar a cabo para su mantenimiento.
- Mantener wordpress y plugins actualizados.
- Actualiza el theme activo ya que es algo que se actualiza menos frecuentemente y es más fácil para los hackers encontrar vulnerabilidades. No hace falta decir que no instales themes «gratuitos» que encuentres por la red, normalmente esos themes ya han sido hackeados y en cuanto los instalas estás regalando al hacker un sitio web para sus travesuras.
- Modificar el usuario por defecto admin por otro menos común.
- Cambiar el prefijo wp_ predeterminado de la base de datos para evitar inyecciones de SQL.
- Utiliza una contraseña fuerte. Si la contraseña es fácil de recordar para ti será fácil de descifrar por los sistemas automáticos de acceso por fuerza bruta.
- No utilices plugins obsoletos o sin reseñas. Los plugins con más reseñas son más seguros y actualizan más frecuentemente.
- Borra los plugins y themes que no utilices. Deja sólo el theme por defecto de wordpress (twenty fifteen). Si tu theme presenta problemas wordpress tratará de activar ese por defecto.
- Protege el archivo de configuración (normalmente wp-config.php) que continene la información de tu servidor como nombre de la base de datos, usuario y contraseña, etc.. (moverlo a otra carpeta, ponerle permisos 444 o añadir reglas al htaccess para evitar acceso es una buena forma de hacerlo.
- Protege la carpeta uploads (tusitio.com/wp-content/uploads) para evitar que ejecuten desde la misma virus o scripts maliciosos.
- Limita los intentos de acceso con el fin de bloquear sistemas automáticos de registro por fuerza bruta.
- Instala reCaptcha como sistema de comprobación humana e instala algún plugin como Limit Login attempts o Protect de Jetpack.
- Instala plugins de seguridad como Wordfence, IthemeSecurity o Bulletproof
- Utiliza permisos de archivos y carpetas seguros en tus archivos FTP. Los archivos deben tener permisos 644 y las carpetas 755.
- Evita el acceso de sploggers o usuarios que se registran masivamente en webs para añadir comentarios spam o inyectar malware. Para ello desactiva el registro de usuarios pero si has de tenerlo activado instala WangGuard para detectar y eliminar esta amenaza.
- Protege el archivo .htaccess
- Nombre de usuario y alias siempre distintos. Ya que es muy sencillo extraer una lista de los autores de publicaciones en wordpress, si dejas igual el alias y el nombre de usuario le habrás hecho la mitad del trabajo a los hackers.
- Modifica la ruta de acceso al panel de administración (normalmente wp-login o wp-admin).
Acciones como estas son básicas para mantener la seguridad de tu sitio web. Y si eres un obseso de la seguridad aun podrás implementar más como limitar el acceso en wordpress a una ip concreta (con el fin de que solo se pueda acceder desde tu casa o tu oficina), bloquear cualquier IP que falle el registro un número de veces a determinar por ti o bloquear cualquier acceso que use un nombre de usuario concreto como admin o cualquier a de los nombres de usuario «alias», cosas que nosotros desde la agencia realizamos para nuestros clientes para asegurarles una seguridad top.
A pesar de ello siempre recomendamos hacer copias de seguridad wordpress frecuentes (mínimo 1 al mes) tanto de la Base de datos SQL como de los archivos del FTP, con el fin de poder rescatar el sitio en caso de tener problemas con el mismo ya sean o no de seguridad. Algo que realizamos nosotros a nuestros clientes con el servicio de mantenimiento web más básico.
Si necesitas ayuda para mejorar la seguridad de tu sitio web o quieres un nuevo portal web más seguro CONTACTA CON NOSOTROS, disponemos, incluso, de servicio de desarrollo web profesional en 24 HORAS.