Seguridad en WordPress – 3 Plugins imprescindibles

Es cuestión de tiempo que tu página se vea afectada por los actos de algún hacker deseoso de hacerse con su control, ya sea para acceder a los datos de usuarios, tus datos privados, los de tu ecommerce o,  simplemente,  para secuestrar tu sitio y comenzar a enviar spam desde tu dominio.

Es probable que si te ha ocurrido esto, sea porque no tienes ninguna medida de seguridad configurada o porque alguno de los plugins que tienes instalado es vulnerable a los ataques de un indeseado. A continuación,  te voy a recomendar 3 plugins de seguridad que no deben faltar en ningún sitio que funcione bajo WordPress.

Anti-Malware from GOTMLS.NET

Este programa es imprescindible para escanear nuestra carpeta de instalación de WordPress en busca de código malicioso, como también en la carpeta de nuestro tema y demás archivos que forman todo el núcleo de nuestro site.

Este plugin es completamente gratuito y solamente es necesaria una dirección de correo para poder registrar tu sitio y obtener una licencia libre, con la cual podrás descargar las actualizaciones de definiciones que se van liberando conforme se van encontrando nuevas vulnerabilidades.

El procedimiento que hemos de seguir es el siguiente: lo instalamos, lo registramos con una cuenta de correo, actualizamos las definiciones si hay alguna nueva disponible y hacemos clic en “Ejecutar escaneo completo”. ¡Listo! Comenzará el escaneo. Si encuentra algún archivo infectado, éste se mostrará resaltado en rojo;si es sospechoso de estar infectado, lo marcará de color amarillo.

Si has utilizado algún antivirus o programa para eliminar spyware del pc (como por ejemplo SpyBot de Safer Networking) con anterioridad, su manejo será un juego de niños para ti.

Puedes hacer que sólo escanee la carpeta de tu tema, la carpeta del core de WordPress, la carpeta de plugins o todo el directorio raíz de tu sitio.

Yo recomiendo pasarlo, al menos,  una vez a la semana y siempre que tengas sospechas de que tu sitio haya podido ser manipulado.

Como dije anteriormente, este plugin es gratuito pero,  si haces una donación de 25$ o superior a través de PayPal, puedes desbloquear algunas funciones, como por ejemplo el escaneado programado. Si te gusta el plugin y quieres despreocuparte de tener que realizar un escaneado manual cada semana, quizás te compense realizar una donación y el autor de este plugin seguro que te lo agradecerá.

Puedes descargar Anti-Malware form GOTMLS.NET desde el repositorio oficial de WordPress en este enlace: https://es.wordpress.org/plugins/gotmls/

Wordfence

Éste,  quizás,  sea uno de los plugins más completos y complejos de configurar, no porque su interfaz sea complicada, sino por la cantidad de opciones de configuración que ofrece: Firewall, escaneo de archivos, protección contra intentos de hackeo por fuerza bruta, estadísticas de tráfico en vivo, bloqueo por ip, bloqueo por país… la lista es prácticamente infinita.

A través de su panel de configuración podemos establecer ciertos mensajes de alerta que serán enviados por correo electrónico a una dirección que hayamos definido. Estos mensajes pueden ser, por ejemplo, avisos de que un usuario ha intentado varias veces acceder al sitio con una contraseña errónea, de que un usuario se ha conectado con una cuenta de administrador o de que hay un intento de acceso mediante un ataque de fuerza bruta.

También es posible limitar los intentos de recuperación de contraseña olvidada (un límite que WordPress no tiene por defecto), que bloquee inmediatamente a alguien que intente acceder al sitio con una cuenta de usuario de “administrator”, “admin” o cualquier otra que especifiquemos (normalmente esas son las primeras cuentas/contraseñas que un hacker probará para acceder al sitio y que, por supuesto, nunca se deberían usar).

Si bien puede ser intimidatorio al principio, puedes instalarlo y usar las opciones  que vienen por defecto y después ir configurándolo a tu gusto.

Como todos los plugins que voy a nombrar en este artículo, éste también es gratuito.

Lo puedes descargar desde el repositorio de WordPress y también te recomiendo que le eches un vistazo a su web https://www.wordfence.com/ , ya que ofrece una solución de pago que amplía las funciones de la versión gratuita y es bastante interesante si quieres reforzar aún más la seguridad de tu web.

Sucuri Security

A diferencia de Wordfence, este plugin tiene una interfaz más sencilla y mas amigable, pero que esto no te lleve a equivocaciones; no por ello es menos completo.

Sucuri tiene una función que ninguno de los anteriores tiene, y es la opción de “hardening”,  que “blindará” algunas de las carpetas y ficheros más delicados de nuestro sitio. De esta manera,  y a través de una sección con dicho nombre, podemos proteger la carpeta de “uploads”, restringir el acceso a la carpeta “wp-content ” y “wp-includes” y esconder la versión de WordPress que usa nuestro sitio ante las miradas curiosas, logrando así prevenir la subida de archivos maliciosos a las carpetas de nuestro server.

Otra de las funciones que hacen de él una opción a tener en cuenta, es la de reestablecer ciertos parámetros posteriores a un hackeo. De esta manera, desde la sección “Post Hack”,  puedes hacer un reset de los plugins que tienes instalados, cambiar las claves de seguridad o resetear las contraseñas de usuarios.

También tiene un escaner de Malware, aunque no tan bueno como,  por ejemplo, el de GOT MLS. El firewall, sin embargo, es de pago, por lo que si quieres usar su solución tendrás que hacerte con la licencia anual.

Puedes encontrar este plugin en el repositorio de WordPress o en su página web https://sucuri.net/

Otros consejos:

• Siempre procura mantener tu WordPress actualizado. Cada cierto tiempo surgen vulnerabilidades que se van parcheando sobre la marcha.
• Usa siempre plugins actuales, ya que algunos pueden ser antiguos y vulnerables a ataques.
• Desinstala los plugins que no uses.
• Utiliza contraseñas fuertes y únicas para tus cuentas de usuario.
• Instala alguno de estos plugins (o todos) y escanea tu sitio de vez en cuando.