Semana a semana se pueden leer noticias sobre sitios importantes que fueron hackeados o bases de datos de clientes que fueron publicadas en internet, y así empieza una ronda de paranoia.

Por eso preparé esta lista para repasar las bases de la seguridad en WordPress y como implementarla.

¿Por qué tomar tan en serio la seguridad de WordPress?

Porque mantener la seguridad de tu sitio web conlleva la misma responsabilidad que mantener la seguridad de tu casa. Porque al salir cerraste la puerta con llave, ¿verdad?

Google escanea la seguridad básica de los sitios web antes de mostrarlos en los resultados, y si encuentran que, por ejemplo, hay links para descargar virus desde tu sitio, simplemente marcarán tus URLs como peligrosas. Y ya sería tarde preocuparse por la seguridad en ese momento. Google marca como peligrosos a unos SEIS MIL SITIOS POR DIA.

Muchos no tienen idea del riesgo potencial al usar la misma contraseña para Gmail, para su sitio, para el banco. Y lamentablemente aprenden la lección cuando la fatalidad golpea sus puertas.

Pero por más que no entiendas la jerga de seguridad hay unos simples pasos que podés dar para que tu sitio esté un poquito más seguro.

La siguiente lista no es un top 10, sino más bien una lista de puntos básicos a chequear.

¿Se te hace largo de leer y necesitás una motivación? Todos los días vemos entre 50.000 y 180.000 intentos de acceso no autorizado a los sitios que manejamos. La gran mayoría proviene de hackers usando sistemas de fuerza bruta para adivinar contraseñas. Aunque no lo creas, es totalmente posible que un hacker desde la otra punta del globo esté intentando irrumpir en tu sitio en estos momentos

 

No te gustaría que te hackee la página - Veamos consejos de seguridad para WordPress

… y ojalá tu contraseña no sea password123.

Y ahora vamos con la lista. 10 consejos de seguridad para WordPress que no podés dejar pasar:

1. Usar contraseñas seguras

Es el paso más fácil que podés poner en práctica en este momento, si es que no lo habías hecho ya.

No postergues este paso.

Una misma contraseña para todos tus sitios, sobre todo si es una palabra del diccionario, son una apuesta en tu contra. Incluso al pensar «quién querría hackear mi sitio?», porque el hackeo no es algo personal. Simplemente usan programas que recorren los resultados de Google en busca de sitios inseguros donde infiltrarse.

Tu contraseña tiene que tener al menos 10 caracteres, combinando números y letras, mayúsculas y minúsculas. Puede ser una frase con espacios para ser algo fácil de recordar.

2. Siempre tener al día las actualizaciones

WordPress y sus plugins y themes no se actualizan tan frecuentemente porque sí, para fastidiarte. Se actualizan para corregir errores, introducir nuevas funciones y sobre todo, para solucionar fallas de seguridad que vayan descubriéndose.

¿Se puede estar siempre un paso adelante de los hackers? A veces no. Pero es mejor estar un paso atrás y no 30.

No hay excusas para no actualizar los programas, ni siquiera el viejo adagio de «no arregles lo que no está roto», porque de hecho, si no hubiera algo roto no publicarían actualizaciones…

Muchos tienen miedo de que una actualización de WordPress rompa su tema o impida el normal funcionamiento de un plugin. La respuesta a esto es simple: si tu theme o plugin tiene más de dos años de antigüedad, puede romperse, pero porque es antiguo y tendrías que actualizarlos o remplazarlos! Hay formas de proteger igualmente el sistema en caso que no puedas actualizar todo el conjunto. Consultanos porque podemos ayudarte.

3. Proteger el acceso al Escritorio de WordPress

Primero que nada, tu usuario administrador no debería llamarse “admin”, porque es el target más escaneado por los hackers. Esto puede cambiarse con simplemente crear un nuevo usuario con rol administrador y con cualquier otro nombre. Luego eliminamos el usuario admin, y cuando WordPress nos pregunta que hacer con todo el material publicado, se lo asignamos al nuevo usuario que generamos. Y así eliminamos uno de los principales vectores de ataque.

Obviamente los hackers pueden ver los nombres de los usuarios autores de entradas, de modo que si no es necesario, bien se puede ocultar el autor si el theme nos da la opción, o mejor aún: publicar contenidos con un usuario que no sea administrador.

Independientemente de esto, los consejos de este tip no servirían de nada si no se observó el punto 1 y se usan contraseñas seguras.

4. Protegerse de los ataques de fuerza bruta

Ya lo había mencionado. Y lo reiteramos: vemos entre 50.000 y 180.000 intentos de acceso a los sitios que hosteamos. Cuanto más conocido sea tu sitio, más llamativo será para los hackers.

Nosotros monitoreamos los ataques de fuerza bruta. Tenemos sistemas que verifican cuando hay múltiples intentos de acceso incorrecto y bloqueamos esas IPs con el firewall. Pero no hay mejor protección que la que opera desde dentro del mismo sitio, porque cada web es un mundo.

Hay plugins sencillos para utilizar en hostings de mala muerte, como el Loginizer (que remplaza al viejo Limit Login Attempts) y otros más elaborados y completos, que recomiendo por sobre cualquier otra solución de seguridad, y es el iThemes Security free.

El Loginizer simplemente bloquea las IPs que realizan un login incorrecto, pero no evita que busquen otras vulnerabilidades en el sitio.

El plugin de iThemes, en cambio, cuando está bien configurado, implementa reglas que filtran el tráfico vía htaccess. Esto hace que los bots sean detenidos incluso antes de que se ejecute el PHP de tu web.

Si te interesa, podemos fortificar tu sitio web en menos de una hora y a un precio muy accesible. Consultanos.

5. Vigilar el malware

Es imprescindible tener algún tipo de sistema para monitorear constantemente tu sitio en busca de malware (virus o elementos indeseables inyectados por hackers en tu sitio web).

Un sitio WordPress desprovisto de medidas de seguridad es como un parque de diversiones para los hackers. No importa si es un sitio poco conocido o con pocas visitas. Si es vulnerable, ellos le van a sacar provecho para todo tipo de delitos informáticos.

La forma en que se monitorea es vital. Y lo ideal es un método que pueda chequear TODOS los archivos de WordPress para detectar cambios, errores, brechas, y cosas extrañas que no debieran estar ahí.

Otras veces es más bien culpa del proveedor de hosting, que no reúne las medidas de seguridad necesarias para proteger un sitio web, y es lo que pasa con algunos proveedores baratos. Nosotros tenemos implementado un antivirus que escanea cada nuevo archivo que se suba a tu sitio web, en busca de elementos problemáticos, y tenemos experiencia eliminando malware y manteniendo esos sitios «vacunados» contra estos problemas.

Monitorear el malware no es LA solución. También hay que saber qué hacer si alguna vez da positivo. Y nosotros ya vimos de todo. Podemos limpiar sitios.

6. Elegir el mejor hosting

Ya dijimos que lo mejor es escanear los sitios desde dentro del servidor. El problema es que no todos los proveedores de hosting implementan esas técnicas y por eso cobran precios super archi mega baratos. Pues bien, esos proveedores son sólo para sitios clásicos, pequeños y hechos en HTML puro y duro. A partir de un WordPress necesitás una plataforma confiable, manejada por gente que conoce WordPress por dentro. Y esta es la propuesta de AMPM.

Sin mencionar que uno de los principales riesgos de resultar infectado está en los hostings genéricos compartidos, donde sumado a que no siempre tienen buenas medidas de seguridad, vas a estar hosteado al lado de cinco mil sitios web más que pueden tener sus propios problemas de seguridad.

Un servidor VPS puede ser algo caro si lo que se quiere es tener uno o dos sitios. Y hete aquí que nosotros podemos proveer hosting compartido en servidores con apenas 100 o 200 sitios, o VPS pequeños administrados por nosotros, para que no tengas que preocuparte por la seguridad ni por la saturación del servidor. Chequeá las ofertas disponibles.

La seguridad online es una materia que evoluciona constantemente, con amenazas novedosas que aparecen mes a mes. No hay una solución definitiva ni un método infalible. Hay que monitorear constantemente y adaptar las medidas así como emplear los sistemas mejor calificados para esto. Y esta filosofía es la que nos guía.

7. Limpiá tu sitio igual que limpiás la cocina

A esta altura ya sabrás que un WordPress mal administrado podría ser una bomba de tiempo esperando a explotar. Si en tu WordPress tenés instalados temas y plugins antiguos, desactivados pero sin actualizar, y que probablemente no vayas a usar más, es como tener una granada en la mano.

Así como no dejás los platos sucios en agua estancada tres dias en la cocina, o tal como sacás la basura de tu casa todos los días, tampoco tenés que dejar plugins o themes innecesarios en tu WordPress.

Y esto es fácil de hacer porque simplemente tenés que revisar la lista de themes o plugins desactivados, y eliminarlos. En el caso de themes o plugins que hayan sido hechos a medida, asegurate de hacer un backup primero.

8. Controlar la información sensible

Cuando hagas la limpieza de archivos, no dejes de comprobar que no haya quedado información sensible disponible para todo el mundo.

Por ejemplo, el archivo readme.html que queda instalado por default dice la versión de WordPress en uso, de modo que aunque ocultes la versión de WP en tus páginas con algún plugin, este readme le da una ayudita a los hackers que ahora saben que versión de WordPress usás, y basado en eso, cuáles son las vulnerabilidades que podría tener tu sitio.

También, no dejar en la carpeta principal archivos de tipo php.php, o phpinfo.php, o cualquiera que llame al comando phpinfo(), ya que esto muestra la configuración de PHP de tu servidor, mostrándole al hacker que lo encuentre un mapa completo para idear por dónde entrar.

Tampoco dejar en la carpeta principal, archivos .sql o .zip resultantes de algún backup, ya que con eso un hacker tendría servida toda la estructura de tu sitio, los contenidos completos, los usuarios, sus permisos,… y sus contraseñas…

9. No bajar la guardia

Es simple. Estáte atento a todo lo que contiene tu sitio y suscribite a dos o tres sitios de noticias sobre seguridad WordPress.

La mejor defensa es un buen ataque, y estar informado aunque no entiendas los pormenores de un ataque puede servirte para prevenir problemas con tu sitio web.

Sino, tenés que optar por un hosting WordPress confiable que te cubra la espalda en estos temas.

Depende de vos

Lo más importante, es no tomarse la seguridad de un sitio web a la ligera.

Estos 9 consejos son sólo lo básico de seguridad que cualquier usuario sin conocimientos técnicos puede implementar.

Respetando estos 9 consejos, vas a tener cubierta la seguridad esencial de tu sitio WordPress.

¿Tenés otras ideas para mejorar la seguridad? Compartilas a continuación en los comentarios.