Barataria

Antonio López

Cómo hacer WordPress más seguro con estas 7 medidas

Cómo hacer WordPress más seguro con estas 7 medidas

Si ya has oído hablar de WordPress sabrás que es un gestor de contenidos dinámicos ¡muy seguro!. Si aún no estás alojado en un hosting seguro para WordPress, quiero mostrate que el mayor vector de ataque en una instalación de WordPress ¡es siempre el usuario!

Afirmación rotunda basada en el estudio cotidiano de pautas de trabajo de miles de usuarios con instalaciones de WordPress, que comienzan siendo sitios seguros, partiendo de un núcleo muy robusto, y protegido de forma que no sea vulnerable por sí solo y acaban dejándolo vulnerable por desconocimiento o un mantenimiento deficitario.

Cómo hacer WordPress más seguro con estas 7 medidas

Las vulnerabilidades existen, eso es incuestionable, por lo que tener políticas de prevención y contención frente a fallos de seguridad de un sitio web deben formar parte de tu checklist de trabajo con WordPress, sobre todo si tu enfoque es comercial y gestionas tu propia cartera de clientes.

7 medidas recomendadas para que WordPress sea más seguro:

  1. Mantén el núcleo, plugins y temas siempre actualizados.
  2. Realiza de forma regular copias de seguridad.
  3. Evitar la exploración de directorios
  4. Mantén protegido el directorio wp-admin
  5. Deshabilita llamadas a procedimiento remotos (XML-RPC)
  6. Utiliza métodos de autenticación en dos pasos (2FA)
  7. No uses plugins de seguridad, mejor contrata un buen Hosting.

Te desgloso con detalle algunas de estas medidas, para no extenderme mucho, pues hablar de seguridad y sitios web da para escribir un libro.

Mantén WordPress siempre actualizado

Por increíble que te parezca, actualmente solo el 53,3% de instalaciones de WordPress trabajan con la versión estable, el resto se reparten entre el 0,8% que aún trabajan con la versión 3.4 que data de 2012 y el 10,7% que aún siguen anclados en la versión 4.6 que ya quedó atrás y además es muy vulnerable.

¿Sigues pensando que el núcleo de WordPress es inseguro? espero que tras estas contundentes cifras que puedes consultar en WordPress.org tengas más claro que son los usuarios los que dejan las instalaciones desfasadas y vulnerables.

Mantén WordPress al día utilizando la última versión disponible, pero asegúrate que tanto tus plugins como tu tema activo son compatibles con cada nueva versión.

Protege la exploración de directorios

Cuando llamas a un archivo o una carpeta en un servidor desde tu navegador y no se encuentra en dicho directorio un archivo index.html o index.php que se pueda ejecutar, se mostrará una página con un índice del directorio en cuestión.

Este tipo de información, que se expone cuando no hay protección de exploración de directorios, puede ser útil para usuarios maliciosos que se sirven de estos fallos de seguridad para explotar alguna vulnerabilidad conocida y así escalar privilegios en el servidor donde se aloja tu web.

Si creas un nuevo directorio en tu sitio web y no colocas un archivo «index.html» vacío en esa carpeta, comprobarás que tus visitantes pueden obtener una lista de todos los archivos de esa carpeta desde el navegador.

Para evitar el listado de archivos y carpetas puedes añadir un sencillo código o directiva en el archivo .htaccess de tu carpeta donde alojas la web:

# Evitar el listado de directorios
Options All -Indexes

Si lo has realizado de forma correcta, o el servidor de tu cuenta de Hosting ya implementa medidas de protección contra el listado de directorios, al intentar listar una carpeta desde tu navegador verás el siguiente mensaje:

Forbidden
You don't have permission to access / on this server.
Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request.

Lo normal es que un buen Hosting, preocupado con la seguridad, implemente esta protección en el archivo /etc/apache/apache2.conf o en /etc/apache/httpd.conf fuera del espacio del usuario.

Una instalación nueva de WordPress siempre escribe un archivo index.php en blanco en cada carpeta para que un usuario que visite una determinada carpeta, como el directorio de plugins, se encuentre con una pantalla en blanco.

Plugins de seguridad ¿sí o no?

Instalar plugins que aporten mayor seguridad a tu web no es en sí una solución, y en el caso de que tu sitio necesite muchos plugins para proteger puntos débiles, la pregunta que deberías hacerte es ¿estoy alojado en el proveedor de Hosting adecuado?.

En ocasiones se economiza en alojamiento y se acaba haciendo una inversión extra en plugins de seguridad o planes de protección auspiciados por firmas prestigiosas de seguridad, y no necesariamente esto segundo sea la solución menos pesada para tu instalación de WordPress.

Los plugins de seguridad como Sucuri Security, Wordfence, iThemes Security, etc., ayudan a proteger muchos de los habituales vectores de ataques a sitios web, pero adicionalmente añaden una carga extra en tu web que el servidor acaba acusando de alguna forma consumiendo más recursos para que tu web siga operativa.

Combatir los ataques de fuerza bruta no necesariamente implica llenar tu instalación de WordPress de plugins redundantes, hay medidas muy simples y rápidas de aplicar con las que obtendrás mayores niveles de seguridad …y de tranquilidad.

Utiliza SSL en WordPress (BONUS)

El uso de un Certificado SSL para WordPress, sea una Tienda con WooCommerce, una web de empresa o un proyecto de blog personal, es cada vez más importante y Google se lo toma muy en serio.

Una buena solución y además gratuita es el uso de Certificados SSL Let’s Encrypt para cifrar la información de tu sitio web.

Los navegadores web más habituales reconocen los certificados Let’s Encrypt como una CA (Autoridad Certificada) de confianza y utilizan el algoritmo de huella digital SHA-256, de los más seguros en estos momentos, que cumple con los requisitos de navegadores web como Google Chrome.

En este sentido Google lleva tiempo fomentando el uso de Certificados SSL en sitios web de forma que todas las comunicaciones entre cliente y servidor se realicen de forma más segura y encriptada.

Un sitio web WordPress que trabaje con un Certificado SSL no va a experimentar una reducción de velocidad mayor de 1 segundo o 2 con respecto a un sitio que no use SSL.

Google actualmente tiene muy presente el uso de certificados SSL para potenciar el posicionamiento de sitios web.

Conclusiones

Tras esta breve exposición de puntos a considerar, se justifica la máxima que siempre sostengo «WordPress es muy seguro» pero son los usuarios y el uso de plugins de terceros, vulnerables, o descargados de sitios de poca confianza, los que convierten WordPress en una instalación vulnerable.

CONTRIBUYE CON PERIODISTA DIGITAL

QUEREMOS SEGUIR SIENDO UN MEDIO DE COMUNICACIÓN LIBRE

Buscamos personas comprometidas que nos apoyen

COLABORA

Antonio López

Soy Consultor SEO y Analista Web con más de 14 años de experiencia en proyectos de Marketing Digital y Reputación Online. Fundador de www.elblogdelseo.com y www.seostar.es. Periodista de vocación e Ingeniero de Teleco por convicción.

Lo más leído