Seguridad de WordPress: Guía completa para principiantes

Por Gabrielt1123

Tu día a día como blogger es una lucha constante contra elementos que quieren entrar en tu web y usarla para fines… muy distintos al que habías pensado.

Reconocerlo y saberlo es el primer paso para mejorar la seguridad de WordPress.

Imagen de Shutterstock - ©Dacian G.

¿Quieres saber a qué me refiero?

  • Bots (programas automáticos) que buscan vulnerabilidades en tu web.
  • Crackers, personas con algunos conocimientos de los sistemas, buscando entrar tambien.
  • Ese compañero de trabajo al que le duele tu éxito, y ha averiguado en Google como usar WPScan o Exploits.
  • El diseñador poco profesional que te hizo la web, y esta resentido porque has contratado a otro mejor.

Casos hay cientos, más de los que te he puesto aquí de ejemplo, y cada uno de estos, los he vivido, combatido o recuperado.

El último caso es real. No pienses que no ocurre.

¿Qué encontrarás aquí?

  • Los 5 pilares fundamentales para mejorar la seguridad de WordPress
    • Pilar #1. El eslabón más débil de la cadena somos nosotros
    • Pilar #2. Tu ordenador y sistemas siempre seguros
    • Pilar #3. La seguridad de tu WordPress es el cimiento de tu negocio online
    • Pilar #4. La seguridad de WordPress es algo que no hay que olvidar
    • Pilar #5. No hay nada infalible. Ten a mano un Backup
  • En seguridad, si uno de los pilares falla, la casa se cae

Me avisó una web en la que había trabajado haciendo unos cambios, de que había desaparecido por completo.

Revisando los logs del servidor, vimos que la orden de borrado de todos los ficheros se había hecho por FTP, y desde la IP del diseñador original de la web. ¿Cómo se sabe que era su IP? Porque coincide con su localidad, y porque es la misma IP que figuraba en los logs de cuando se creo la web. Asi que sí, estas cosas pasan.

Y no te creas que por estar empezando, no recibes ataques. Te sorprenderías con la rapidez con la que tu blog comienza a recibir estas visitas no deseadas. Y de hecho, cómo verás ,los blogs novatos son los más vulnerables.

El único que no te he puesto es el del hacker profesional.

Hasta yo pienso que como uno se empeñe a entrar en mi web, lo consigue.

Pero precisamente estos no vienen a hacer daño. Es solo la superación del reto. Y en este caso, tambien pienso que no soy lo suficientemente importante o conocido para ser un reto, estando por ahi disponible la web de la Casa Blanca.

Y que ataques puedes recibir o para qué:

  • Ataques de fuerza bruta o de diccionario para averiguar tu contraseña (hay diccionarios con más de 100000 posibles contraseñas, y que efectivamente son usadas por el 73% de las personas).
  • Ataques de Psicología Social (el típico email de hemos detectado un problema con su cuenta, envíe usuario y contraseña, o la llamada averiguando detalles nuestros), o incluso el Basureo (no, lo siento, tienes que leer más para saber que es esta técnica).
  • Aprovechamiento de vulnerabilidades XSS, MySQL exploits, o fallos en código php. Muy técnico. Un rollo. Pero quédate con la idea que la tecnología que usamos puede tener fallos, y hay que aplicarle parches para cerrar esos agujeros de seguridad.
  • Ataques DDoS, o de denegación de servicio. Esto es que recibes tantas peticiones, que te echan el servidor abajo.
  • Spam SEO: Llenan tus artículos de enlaces ocultos, para posicionar webs fraudulentas, y a ti te tocará estar en listas negras.

Pero no te preocupes.

Respira.

Que para eso estoy aquí, para dejarte esta mega-guía con pilares que tienes que reforzar la seguridad en tu web y convertirla en el Fort Knox de los WordPress.

Los 5 pilares fundamentales para mejorar la seguridad de WordPress

Cuando hayas reforzado estas cinco bases de tu proyecto, dormirás más tranquilo.

Tambien descubrirás, que en contra de lo que pensabas, si estas siendo atacado ahora mismo. Pero por lo menos ya sabes que le pusiste solución y estas protegido.

No hay ninguna parte más importante que otra. Simplemente hay que reforzar las 5 o el sistema tendrá un punto de fallo.

Y una vez hecho, solo es cuestión de aplicar lógica y tener en cuenta dos o tres medidas básicas.

¿Vamos a ello?

Pilar #1. El eslabón más débil de la cadena somos nosotros

Pues sí, voy a empezar por el más básico, pero de algún modo el que más falla. El eslabón más débil de la cadena de seguridad somos nosotros, y el principal punto de entrada de ataques. Así que sigue estos consejos al pie de la letra, y conviértete en el eslabón más fuerte.

Las personas somos el eslabón débil de la cadena de seguridad.

Usa contraseñas fuertes.

El fallo número uno. Hay que usar contraseñas fuertes.

Y fuerte no significa solo larga, y con números y mayusculas y minúsculas. Fuerte significa además aleatoria.

No sirve de nada que Luis Perez, que tiene un perro que se llama Nostradamus (Nostri es como lo llaman en la familia), ponga de contraseña Nostradamus10062013.

Si. Es segura. Y si, un ataque de fuerza bruta lo tendrá complicado. Pero alguien que lo conozca puede tener sencillo descifrarla.

Una contraseña segura es esta: 2nFBxtjGH?TR1a

Al final te cuento el secreto para recordarlas.

Usa contraseñas diferentes.

Por que claro, de nada te vale usar una contraseña fuerte, si luego te registras en todos los sitios con la misma.

Pues sabrás que no todos los sitios guardan la contraseña de una forma cifrada.

Y por tanto ese foro de cocina que tanto te gusta, o esa web donde te registraste mientras buscabas coche, puede que este viendo tu email y contraseña. Y por tanto, tener acceso a tu Facebook, correo,…

O que se produzca un ataque de esos que roban miles de contraseñas, de algún servicio web, y se vean comprometidos todos tus servicios.

Así que ya sabes, fuerte, aleatoria, y además diferente para cada cuenta y web.

¿Ves como vas a necesitar algo para recordarlas?

No se las des a nadie. Nunca.

Repito. Nunca.

Si un desarrollador tiene que entrar a tu sitio web, para revisar un plugin, para hacerte cambios, etc… crea un usuario para el, que podrás desactivar después, eliminar, o cambiarle los permisos.

Así tendrás controlado quien entra en tu web, y cuando.

Y si no puedes crear un usuario, cambia la contraseña, y pon una temporal, y cuando finalice el trabajo, vuélvela a cambiar.

MULTIPLICA EL Nº DE GENTE QUE LEE TU BLOG

Con este eBook gratuito de plantillas de copywritingcrearás titulos que dispararán los clics en tus contenidos:

  • 77 Plantillas de títulos probadas que multiplicarán los clics.
  • Sacaras infinitas ideas crear tus propios títulos.
  • Con las palabras "mágicas" redactarás textos irresistibles.
¡Lo quiero ya!

Garantizamos 100% tu privacidad. No compartiremos tu email con nadie.

Recuerda de forma eficaz y segura tantas contraseñas

No vale apuntarlas en un post-it, o en tu agenda. O en un papel que luego arrugas y tiras a la papelera.

¿Recuerdas que te hablaba del basureo?

Pues es precisamente buscar en la mesa, o basura de alguien por este tipo de apuntes. Si; es una técnica de hackeo. ¿Increíble verdad?

Así que para que puedas recordar una contraseña fuerte, aleatoria y diferente para cada cuenta o sitio web, lo mejor es usar un gestor de contraseñas:

  • LastPass: con versiones para todos los sistemas operativos habituales, app para móviles y extensiones para navegador. Gratuita y con versión premium. Lo que no me gusta es que las contraseñas se almacenan cifradas en sus servidores.
  • 1Password: Multiplataforma tambien, pero solo en versión de pago. Es el que uso, porque funciona genial, y las contraseñas están almacenadas en mi propio Dropbox en un fichero cifrado.
  • Dashlane: Versión para Mac, Windows y apps para smartphones, y completamente gratis. Para mi recién descubierto, pero tiene buena pinta. De haberlo encontrado antes tal vez no hubiera comprado 1Password. Las contraseñas se almacenan tambien de manera local.

Con estos sistemas solo deberás recordar una contraseña. La de acceso a la base de datos de contraseñas. El resto estará cifrado y seguro. Tan seguro, que si olvidas esa contraseña… ¡las perderás para siempre! (y ahora no me vayas a apuntar ésta en el post-it pegado a tu monitor…)

La diferencia entre que se almacene de manera local o remota, es que si los servidores de la empresa se ven comprometidos, tus contraseñas estarán expuestas. Yo soy más de tener yo el control, pero seguro que ellos invierten más en seguridad que yo.

Pilar #2. Tu ordenador y sistemas siempre seguros

De nada sirve usar contraseñas fuertes y poner mil medidas de seguridad, si luego un simple keylogger (un programa que captura lo que escribimos en el teclado) captura tus datos de acceso.

Por lo tanto, es una parte imprescindible que le des vitaminas a tu ordenador, para protegerlo de virus, y malware.

No es difícil manejar uno de los antivirus más potentes que ahi.

Eso se hace con un buen antivirus, y mucho sentido lógico.

Para mi los mejores antivirus serian Karpesky, Avast y BitDefender. ¿Debes usar exclusivamente uno de estos? No, si el que tienes te va bien, no tienes porque cambiar. Pero si no usas ninguno, tienes donde elegir. Imprescindible si usas Windows.

Si eres usuario de Mac o Linux, no te confíes. No te creas la leyenda urbana de que no existen virus o malware para estos sistemas. No es cierta. Pero tampoco necesitas un antivirus. Sus sistemas de permisos, y que sean sistemas menos extendidos, los hace menos apetecibles a ataques. Si necesitas usar mucho tu sentido común.

Consejos aplicables a todos los sistemas (ordenadores o móviles):

  • No instales aplicaciones de procedencia sospechosa. Unos euros ahorrados por usar una app pirata te pueden costar caros. Ni instales apps gratuitas “extrañas” en tu equipo de trabajo”. No descargues de Softonic (curiosamente, la versión gratuita de avast te manda descargarla de softonic…).
  • Usa solo en general herramientas probadas y con buena reputación, que tengan reviews de bloggers independientes.
  • No abras adjuntos de correos electrónicos de desconocidos. Y de conocidos si no esperas nada, observalo con precaución.
  • Solo usa tus claves en webs que tu mismo hayas escrito la url.

Y unos consejos extras, relacionados con las comunicaciones:

  • Por ahorrarte de nuevo unos eurillos, no compartas la conexión a Internet con vecinos o desconocidos. Mucho menos, le “robes” la conexión a nadie.
  • No uses WiFis públicas de centros comerciales u hoteles.

El motivo de esto es que es muy sencillo para alguien, “sniffar” o extraer toda la información que circula por esa red, para después analizarla tranquilamente. Esta recomendación es sobre todo importante si el panel de admin de tu WordPress no usa https. Es un consejo básico para mejorar la seguridad.

Pilar #3. La seguridad de tu WordPress es el cimiento de tu negocio online

Tengo claro que no abrirías un bar en un edificio viejo, o mal construido, que piensas que se te puede venir abajo en cualquier momento.

O que los ladrones se pueden colar haciendo un simple agujero en la pared de lo debilucha que es.

¿Entonces porque usas para tu negocio online servidores de poca calidad?

Yo personalmente, al igual que Berto, recomiendo a todos mis clientes Webempresa. Por seguridad, por soporte, y por rendimiento.

Aquí te dejo una captura de pantalla de sus diferentes planes y precios (haz clic en ella si quieres irte a su web):

Los planes de Webempresa y sus precios con el descuento especial del 20% para los lectores de este blog.

La seguridad de Webempresa es excepcional:

  • Medidas de seguridad pro-activas, para que aunque no actualices no te veas afectado.
  • Medidas de seguridad pasivas, como bloqueo por intentos fallidos repetidos de iniciar sesión.
  • Bloqueo a todos los países de habla no hispana al admin de tu web. ¡Ni te imaginas lo que te quita esto de encima!

Otro servidor que me funciona muy bien a nivel de seguridad para WordPress, y donde esta alojado ahora mismo mi blog, es WPEngine. Mucho más caro, pero sencillamente te olvidas de gestionar seguridad o rendimiento, ya que es un hosting gestionado para WordPress.

En este caso, de nuevo, querer ahorrar algo de dinero, te puede costar realmente caro luego.

Aquí no hay más ciencia. Si quieres seguridad en tu WordPress, invierte en un servidor de verdad.

Como ejemplo, decirte que uno de los más famosos, Hostgator, no se porque últimamente me he encontrado numerosos clientes que lo usaban, con el blog infectado por Spam SEO.

Sencillamente es mejor elegir algo que te un buen soporte, y mas que ser muy famoso, saber que gestiona muy bien sus recursos.

No hay mayor complicación para tener un buen pilar de seguridad en este sentido.

Ver planes y precios de Webempresa + obtener 20% dto.

Pilar #4. La seguridad de WordPress es algo que no hay que olvidar

No podemos estar hablando de la seguridad en WordPress, y no hablar de lo que hay que hacer, para que ésta sea inmejorable.

Resultado de un escáner hecho con Sucuri Security.

Básicamente se basa en reforzar varios aspectos:

  • Obligar a los usuarios a usar contraseñas fuertes (esto lo hace por defecto WordPress desde la versión 4.3, pero no esta de más asegurarnos).
  • Limitar los intentos de iniciar sesión, y así bloquear los ataques por fuerza bruta.
  • Realizar una búsqueda periódica de malware, para que nos avise en caso de cambios inesperados, y podamos solucionarlo de manera eficaz y rápida.
  • Eliminar posibles vulnerabilidades o debilidades de los plugins o temas que tengamos instalados.
  • Bloquear bots (programas automáticos) en busca de dichas vulnerabilidades.

Para poder hacer todo esto, vamos a contar con plugins que nos van a ayudar, y tareas periódicas de mantenimiento que hay que hacer si o si.

Lo más importante: Mantén WordPress actualizado

Como te he explicado, una de las formas más frecuentes de ataque es aprovechando las vulnerabilidades de plugins, temas, o del propio WordPress. Por eso a veces salen actualizaciones, que corrigen dichas debilidades, y es sumamente aplicarlas.

No debes tener miedo a actualizar, si lo haces bien, y no dejas que se acumulen las actualizaciones.

  • Nunca actualices WordPress tras salir la actualización. O si lo haces, asegúrate de tener una copia de seguridad que sepas restaurar. Normalmente se espera dos o tres días, a que se descubran posibles fallos o incompatibilidades que pueda dar. En cuanto pase el periodo de gracia ni lo pienses. Actualiza.
  • Si tienes varias actualizaciones de plugins pendientes, no las hagas todas de golpe. Es mejor ir de una en una, aunque tardes más. De ese modo si alguna falla, sabrás exactamente cual ha sido, y podrás solucionarlo.
  • Actualiza tambien temas o plugins que tengas desactivados. Aunque de esto te hablaré más adelante.
  • Siempre haz una copia de seguridad antes de actualizar por si acaso.

Entro en muchas webs que tienen aún WordPress 3.9 o similar. Que nadie que lea Ciudadano 2.0 sea de estos por favor. Ponte manos a la obra, que es muy sencillo.

Especial cuidado con actualizar los temas, pues si no usas un sistema basado en un Child Theme es fácil que al actualizar pierdas cambios y personalizaciones realizadas. Para eso lo mejor es usar un sistema, como cuando te instalas Genesis Framework + un Child Theme. Si es tu caso, y no quieres cambiar de tema, habla con un profesional para que te haga un Child Theme.

Instala un plugin todo en uno

Lo primero es instalar un plugin que nos ayude a realizar varias funciones. Aquí te voy a dar dos elecciones, ya probadas:

Wordfence Security es el plugin que suelo usar para proteger mis instalaciones fuera de WPEngine, y las de mis clientes. Es sencillo de usar, y prácticamente desde su activación ya estas protegido sin haber configurado nada.

Otra opción que uso en algunos de mis clientes es el plugin iThemes Security (conocido tambien por Better WP Security).

Utiliza solo uno de ellos. Aunque hay gente que usa ambos combinados, creo que si no sabes lo que haces te puede dar más problemas que soluciones.

Cualquiera de ellos te va a ayudar a limitar los intentos de login, bloquear bots y ataques, y reforzar en general la seguridad de WordPress.

Simplemente usa el que te llame más la atención.

Añadamos un extra de seguridad

Con las dos medidas anteriores, ya tienes tu WordPress lo suficientemente seguro. Pero a mi me gusta añadir una medida extra.

El plugin Sucuri Security te ayuda a escanear en busca de malware y avisarte rapidamente si ha encontrado algo o estas en listas negras.

Tambien conserva un log de las actividades en WordPress (inicios de sesión, etc…) y puedes recibir estas notificaciones en tu email.

Aviso: No te satures de notificaciones, pues llegará un momento que no eches cuenta, y no te ayudará a mejorar la seguridad. Desactiva las que creas no te serán de utilidad.

Como la mejor opción para tu hosting, te recomiendo Webempresa

Ver planes y precios + obtener 20% dto.

Pilar #5. No hay nada infalible. Ten a mano un Backup

Todo puede fallar. aunque tengas la web más optimizada del mundo.

Un día tu mismo puedes eliminar toda tu Web.

O un día te descuidas y usas una wifi pública y tu contraseña se ve comprometida, y entran en tu web.

Al final ha pasado lo que tanto temías. Has perdido todo tu trabajo.

Pero si llevas a cabo una política correcta de copias de seguridad, no tiene porque pasar nada.

Para hacer las copias de seguridad puedes usar el plugin UpdraftPlus. Me gusta porque es sencillo de usar, sirve para todo lo que necesitamos, y permite hacer restauraciones de forma sencilla.

Ten en cuenta estos consejos:

  • Las copias de seguridad siempre deben de hacerse en un repositorio externo, en la nube, como Dropbox o similar. No sirve de nada si se quedan en tu servidor.
  • Las copias deben ser programadas y automáticas. Siempre que puedas, prográmalas de noche.
  • No es necesario tener una copia diaria de tus ficheros. ¿Qué puedes perder, las últimas imagenes subidas? Así que puedes hacerla semanalmente, y conserva al menos 4 copias (un mes de copias de seguridad?
  • Las bases de datos si cambian cada día (comentarios, actualizaciones de post, etc….), así que programa una copia diaria, y conserva al menos 7 (una semana).
  • Por último, no sirve de nada una copia de seguridad, si de vez en cuando no miras en la carpeta que se esta haciendo, y compruebas que efectivamente se hacen, están actualizadas, y puedes restaurar los ficheros.

Aparte de tenerlas programadas, no olvides hacer una a mano antes de actualizar, o después de hacer grandes cambios de diseño en tu web.

¡No te preocupes! El plugin que te recomiendo hace todo esto que te he dicho.

En seguridad, si uno de los pilares falla, la casa se cae

Como ves, y seguro que te has dado cuenta, si uno de los pilares falla, todo se cae.

  • De nada sirve tener una contraseña fuerte, si la consigue un virus de tu ordenador.
  • De nada sirve que tu ordenador sea un fortín, si luego no actualizas WordPress y arreglas esa vulnerabilidad tan grave que encontraron hace poco.
  • De nada sirve que lo mantengas WordPress actualizado y blindado, si luego te entran por vulnerabilidades del servidor.
  • De nada sirve tener un gran servidor, para que te puedan entrar por FTP por tener una contraseña débil.

Es la pescadilla que se muerde la cola. O refuerzas los 4 pilares periféricos, o nada hay que hacer.

Y el quinto viene a la ayuda, reforzando desde el centro. Las copias de seguridad que están siempre ahi para ayudarnos a levantarnos rápido si caemos.

Son las 5 medidas básicas que aplico en las webs que diseño, y aun no ha caído ninguna. Unete a la comunidad de bloggers que descansamos tranquilo sabiendo que WordPress es seguro.

No he podido hacer un paso a paso con todas las instrucciones.

Son casi 3000 palabras para explicarte 5 cosas que tienes que tener en cuenta para evitar ser hackeado.

Es lo único que tienes que aplicar. Y tienes enlazado tutoriales con explicaciones de las herramientas.

Haz que sean de utilidad. Aplícalas y duerme tranquilo.

¿Has tenido alguna experiencia desagradable con tu web? ¿Piensas que conocer esto antes te hubiera ayudado?