Seguridad en wordpress mantén tu blog a salvo

Seguridad en wordpress, mantén tu blog a salvo.

Seguro que te has preguntado alguna vez sobre si tu blog está a salvo de ataques o no, normalmente como no nos enteramos de la gran parte de los ataques que sufrimos nos creemos que nuestro blog está seguro. Es una pena pensar que puedes llegar un día y encontrarte que tu blog ha desaparecido, que redirecciona a páginas de spam o que simplemente no puedes acceder a él.

En este post voy a centrarme en medidas sencillas para proteger tu blog de ataques de seguridad, estas medidas son en su mayor parte fáciles de aplicar.

Hay medidas de seguridad mas complejas pero muchas de ellas requieren implantación profesional, debes pensar que no todos los ataques son de la misma intensidad y estas de las cuales hablo hoy protegen de ataques masivos y comunes.

• Vulnerabilidad XSS: agujeros de seguridad.
• Ataques DDdos: petan el servidor a peticiones y acaba cayendo.
• Spam: Pueden añadir spam en tu blog.
• Ataques de fuerza bruta: son ataques para averiguar tu contraseña. Se han llamado siempre de diccionarios.

El objetivo de este post es que puedas proteger tu blog de ataques comunes y mantenerlo mas seguro.

Ningún blog de wordpress está a salvo de ataques.

No pienses que a un blog pequeño no le "atacan los hackers", si lo hacen porque cuándo atacan con spamboots por ejemplo o los ataques DDdos no distinguen entre blog grandes, pequeños, de moda, de tecnología, de cine... te atacan por igual, así que toma las medidas que puedas para evitar que puedan vulnerar la seguridad de tu blog.

WordPress es una plataforma open source con una gran comunidad que desarrolla, mejora, crea en torno a ella y luego está el lado oscuro que piratea, hackea, vulnera y spamea, al ser una comunidad en la que todo está abierto para que cualquiera podamos desarrollar nuestras aplicaciones, también lo está para aquellos que quieran crear software malicioso o perjudicial.

Mantente alerta para evitar problemas de seguridad en tu blog.

La seguridad de tu blog debe preocuparte, seguro que no te ha pasado nada o no sabes lo que te está pasando, el problema de la mayor parte de ataques a wordpress que se realizan por spamboots son casi indetectables a simple vista, necesitamos tener control sobre analíticas, hosting y mas cosas para detectar esos fallos, normalmente los indicadores de ataques "invisibles" son los siguientes:

• Caídas de tu servidor (Pueden atacar a tu servidor entero).
• Tu página no está disponible sin motivo ni razón a ratos, o carga lenta. (ataque DDdos, spamboot)
• Muchas visitas de China, Rusia... (darodar, get-your-social-buttons.info, etc...)
• Un tráfico descomunal de datos no de visitantes (ataques de fuerza bruta)

Luego los problemas de seguridad que si vemos...

• Redirección a página de spam.
• Cierres de sesión cuándo le sale del moño.
• error connection timed out.
• No poder entrar en el blog.

Una de las mayores preocupaciones que tenemos a la hora de escribir un blog es su seguridad, ojo no penséis que simplemente te pueden robar la contraseña, ese es un ataque mas frecuente de lo que piensas y es de los que mas fácil solución pueden llegar a tener.

Como proteger tu blog de ataques de seguridad y malware:

Bueno ya creo que te he asustado bastante así que vamos manos a la obra con las maneras mas fáciles de proteger tu instalación de WordPress.

Empezamos por proteger la instalación de wordpress:

#1 Usuarios y contraseñas seguros.

Normalmente ponemos en bandeja que nos hackeen con usuarios como admin, mi nombre, author, alpha.. estos nombres que muchas veces vienen dados por defecto en las instalaciones debemos cambiarlos por seguridad, pon un nombre de usuario para el loging difícil intenta que tenga mayúsculas, números, minúsculas, signos especiales... bolas de dragón pero esa bobada tan simple es un cambio necesario.

Debes reforzar tu contraseña debes intentar que sea mas segura que nombre de usuario, intenta que tenga mas de 8 caracteres y todos los signos especiales que se te ocurran, sin orden lógico, p uedes cambiarla las veces que necesites.

Un password seguro es como un candado no es infranqueable pero disuade bastante.

# Limita los intentos de acceso a tu loging para evitar ataques de fuerza bruta que intentan averiguar tu contraseña, para ello bien puedes instalar código o un plugin de seguridad como Word fence....

# Por seguridad cambia tu nombre público como autor, editor o administrador para que sea diferente al que introduces como usuario en el panel de acceso.

2# Un buen hosting de calidad.

A parte de que contratar con una buena compañía de hosting es bueno para la seguridad de tu blog es bueno para el seo, para mejorar la velocidad de carga de tu blog.. puedo seguir horas, sé que es una inversión pero merece la pena, de un hosting bueno a uno malo van muy pocos euros al mes de diferencia.

La mayor parte de los ataques se realizan no a tu blog concretamente sino a los servidores, o sea a tu hosting, si la empresa en la que tienes contratado el hosting es una buena empresa se encargará de realizar tareas de mantenimiento, seguridad y limpieza en los servidores para evitar que sufras problemas, también podrán ayudarte en caso de que sufras un robo de contraseñas e incluso te advertirán de como mejorar el rendimiento de tu instalación.

Una buen hosting puede recuperarse de una caída de servidor rápidamente, puede hacer backups periódicos de las bases de datos.

#3 Un blog seguro es un blog actualizado.

Es muy importante actualizar todo, en especial cuando hablamos de wordpress, las actualizaciones sirven mas que nada para arreglar fallos de compatibilidades y tapar agujeros de seguridad.

Existen actualizaciones de diseño, funcionalidades que se añaden pero las mas importantes son aquellas que no vemos como son todas las que se ocupan de arreglar todos los bugs que pueden ocurrir tanto en el propio wordpress, plantillas o plugins.

# Mantén actualizada tu versión de WordPress.

Una de las maneras para hacer mas seguro y fuerte tu blog es mantener su corazón joven y sano, las actualizaciones de wordpress son en mayor parte de seguridad y cuanto antes actualices menos posibilidades tendrás de sufrir un ataque.

Por suerte la comunidad de wordpress es enorme y en cuanto se detectan ataques casi al día siguiente hay alguna actualización para solucionar esa vulnerabilidad, aunque es conveniente que esperes un poco para que casi todos los plugins se hayan actualizado a esa versión de wordpress, también a que se estabilice un poco espera al menos 48 horas para actualizar.

#Actualiza tu plantilla.

Las plantillas tienen muchos agujeros de seguridad, lo que hace que debas actualizarla cada vez que puedas, una plantilla antigua tiene muchas mas posibilidades de sufrir ataques que una que ha ido renovándose, a parte se nota cuándo algo se va actualizando porque muchas de las actualizaciones son por exigencias de los navegadores y poco a poco se sustituyen elementos "pesados" por otros ligeros.

#Actualiza los plugins

Debes actualizar los plugins a menudo, ya sé que es una lata y que te juegas que te salga "la pantalla blanca de la muerte" pero los plugins desactualizados son verdaderos caballos de Troya en tu blog, nadie sabe cuándo van a dar un problema de seguridad, y al igual que plantillas y wordpress la mayor parte de sus actualizaciones se deben a problemas de seguridad, hay que pensar que necesitan acceder continuamente a la base de datos.

Respecto a actualizar plugins ten en cuenta este post:

4# Elige una buena plantilla.

Elegir una buena plantilla que tenga un continuo mantenimiento es primordial para tener un blog seguro, una gran parte de los fallos de seguridad que pueden dejar nuestro blog al descubierto están en la plantilla.

Es muy importante tomarse tiempo en analizar la decisión de compra de una plantilla, uno de ellos es la actualización periódica por parte de los desarrolladores, de esto hablo en este post sobre lo conveniente que son las plantillas permiun:

#5 Cuidado con los plugins.

A parte de actualizarlos y configurarlos correctamente es convenienete que sólo instales plugins de desarrolladores verificados o al menos que tengan muchas descargas, piensa que muchos de los hackers dedicados a romper la seguridad también fabrican plugins y un plugin es un buen hervidero para hacer pruebas.

También porque hay empresas que hacen un plugin muy bueno y al final dejan de mantenerlo porque es una molestia, el plugin sigue disponible y funcionando, pero que funcione no quiere decir que sea seguro, el tiempo que trascurre desde la última actualización es muy importante.

# Borra todo los plugins inactivos.

Si no usas un plugin o una extensión debes borrarlo, es lo mas conveniente, si no quieres dejar una puerta abierta a las vulnerabilidades.

A parte de que aligerarás la carga de tanto archivo eliminas un foco de riesgo, los plugins siempre van a estar ahí para que los instales y actualices, no hace falta tenerlos en nuestra instalación inactivos.

Yo tengo esta lista de plugins imprescindibles a la que voy añadiendo de vez en cuando alguno:

#6 Haz respaldos de las bases de datos.

Un backup periódico puede salvarte de muchos problemas, también de perder tu blog definitivamente o recuperarlo en el punto en el cuál se hizo tu copia, hay muchos plugins dedicados a hacer esto por ti periódicamente y almacenan las copias dónde les mandes por ejemplo Backup wordpress te enviará una copia de tu backup a tu correo con la frecuencia que le indiques.

Es imprescindible que al menos si ocurre cualquier cosa al menos puedas recuperar tu trabajo, así que ya estás instalando algún plugin para esto!.

#7 Instala un plugin de seguridad para proteger tu blog.

Este es el punto mas peliagudo pero a veces es necesario instalar un plugin de seguridad para que algunas funciones de las que te he hablado antes se automaticen y sean mas fáciles, por ejemplo hay plugins que limitan los intentos de acceso como wordpress fence o Ithemes security, depende de cuál es mas compatible con el resto de plugins que tengas instalados.

Normalmente uso esos porque son los que mas uso y me funcionan bien, también he utilizado otros que recomiendo y actualmente ando probando, en realidad los plugin de seguridad se dedican a repasar si has hecho todos los deberes en materia de seguridad, escanear y a hacer que puedas acceder a parámetros algo mas complejos.

Espero que este post sobre seguridad no te haya asustado, pero es algo muy importante en wordpress, por desgracia año tras año aumentan los ataques y hay que estar alerta.

Como puedes ver estos son los aspectos mas básicos de seguridad en wordpress, mas adelante iré profundizando mas en aspectos concretos algo mas técnicos. ¿Has implementado alguna medida de seguridad en tu blog?, ¿has sufrido ataques? puedes contar tus experiencias en los comentarios y serán de gran ayuda al resto de blogueros.