WordPress, hoy en d铆a, es uno de los CMS m谩s utilizados para聽crear sitios web, blogs y tiendas online entre otros. Adem谩s, que al ser un software de c贸digo abierto (disponible para cualquier usuario), tiende a ser muy vulnerable a ataques y hackeos.
Por esta raz贸n es pr谩cticamente "obligatorio" contar con un sistema de聽seguridad en WordPress聽muy reforzado para que se mantenga siempre funcionando y seguro.
Muchos usuarios suelen聽instalar un plugin de seguridad聽en su sitio web y con eso creen que es suficiente. Este plugin puede ayudar pero es recomendable aplicar algunas t茅cnicas adicionales para "blindar al 100%" nuestro sitio web.
Cuando instalas WordPress por primera vez, es necesario que indiques los datos de configuraci贸n de tu base de datos.
La mayor铆a de estos datos los puedes crear desde el panel de control de tu servidor pero hay un dato adicional que puedes elegir cambiar: el聽Prefijo de tabla.
Por defecto WordPress asigna como prefijo "wp_" pero聽es recomendable cambiarlo聽durante el proceso de instalaci贸n.
En la lecci贸n,聽instalar WordPress paso a paso, podr谩s ver el proceso de instalaci贸n desde cero y como asignar estos datos para configurar tu base de datos.
Cuando instalas WordPress por primera vez, debes indicar un nombre de usuario y contrase帽a con los que podr谩s ingresar luego al panel de administraci贸n de WordPress.
Ir贸nicamente, suelo recomendar que utilices como nombre de usuario "admin" y contrase帽a "admin" al momento de la instalaci贸n. Pero esta recomendaci贸n聽no es una tonter铆a.
En la primera instalaci贸n de WordPress, el usuario admin se registra en la base de datos con聽ID=1聽y esto es algo que los hackers saben.
Una vez hayas instalado WordPress, desde el panel de administraci贸n,聽es recomendable crear un usuario "real"聽y eliminar el usuario admin de manera que al usuario real se asigne un ID diferente de 1.
En la lecci贸n,聽qu茅 hacer despu茅s de instalar WordPress, te indico una serie de pasos para modificar el usuario "falso" creado en la instalaci贸n de WordPress.
Cuando crees un nuevo usuario en WordPress,聽es muy recomendable utilizar una contrase帽a "fuerte"聽que sea pr谩cticamente imposible de hackear.
WordPress, en sus 煤ltimas versiones, incluye un聽generador de contrase帽as seguras聽que te recomienda utilizar. Una vez creada (o modificada) basta que la copies en un bloc de notas (por ejemplo) para tenerla siempre a mano.
Como actualmente, la mayor铆a de navegadores ofrecen la posibilidad de聽recordar contrase帽as en tu ordenador聽(computadora), cuando inicies sesi贸n con la nueva contrase帽a, puedes guardar la contrase帽a en el navegador (Chrome, Firefox o Safari) para que la recuerde en el pr贸ximo inicio de sesi贸n (la que copiaste en el bloc de notas).
Igualmente, en algunos navegadores como Chrome y Firefox, puedes聽sincronizar los usuarios y contrase帽as en la nube聽de manera que te puedas conectar a WordPress desde cualquier lugar y no tengas que memorizar una contrase帽a complicada.
El equipo que colabora con el desarrollo de WordPress, trabaja constantemente para聽detectar nuevas vulnerabilidades en el n煤cleo. Cada vez que detectan alguna, te ofrecen una actualizaci贸n la cual deber铆as realizar inmediatamente una vez se encuentre disponible.
Si WordPress no se encuentra actualizado, es posible que聽exista una brecha de seguridad聽debido a que, la versi贸n que tienes instalada, ya es vulnerable a ataques.
La ventaja de todo esto es que WordPress siempre te va a聽ofrecer la 煤ltima versi贸n聽para que la actualices desde el panel de administraci贸n por lo que no tendr谩s excusa para no hacerlo.
Esto mismo se aplica para los plugins y temas provenientes del repositorio de WordPress.
Si est谩s utilizando plugins y temas PREMIUM, lo m谩s seguro es que el desarrollador de estos plugins y temas聽ofrezca una actualizaci贸n compatible聽con la 煤ltima versi贸n de WordPress.
Es recomendable que tambi茅n realices esta actualizaci贸n ya que normalmente聽los plugins son los elementos m谩s vulnerables a ataques聽de todo tu sitio web.
En la lecci贸n,聽actualizaciones en WordPress, te indico una serie de pasos para que aprendas a actualizar WordPress de forma segura.
Cuando vayas a instalar un plugin, aseg煤rate que聽se encuentre disponible la 煤ltima versi贸n聽y que sea compatible con la actual versi贸n de WordPress. Los plugins gratuitos del repositorio de WordPress suelen indicar estos datos.
No te f铆es de plugins ni temas que lleven mucho tiempo sin ofrecer actualizaciones ya que seguramente se han quedado obsoletos y presentar谩n alguna vulnerabilidad en la聽seguridad de WordPress.
Si se trata de plugins o temas PREMIUM, aseg煤rate que estos tienen un historial de actualizaciones (normalmente llamado聽Changelog) y que las contin煤an ofreciendo.
No ser铆a agradable comprar un plugin o un tema PREMIUM y, que al cabo de un tiempo, no ofrecieran m谩s actualizaciones.
Esto es algo que la mayor铆a de administradores de WordPress no hace,聽隆lo que no sirve a la basura!
Si has estado realizando pruebas en WordPress, instalando temas y plugins para conocerlos mejor, llegar谩 un momento en el que s贸lo te quedar谩s con los necesarios. El resto de plugins y temas que no utilices聽隆por favor, b贸rralos!
Estos no solo ocupar谩n un valioso espacio en tu servidor si no que es posible que no prestes atenci贸n a las actualizaciones y, al no encontrase activos, provoquen una brecha de聽seguridad en WordPress.
Todos los plugins y temas que se encuentran en el repositorio de WordPress, han sido testeados y son totalmente seguros.
Muchos de estos plugins y temas suelen ofrecer una versi贸n PRO (de pago con m谩s funciones) que es recomendable contratarlos y descargarlos desde el propia sitio web del autor.
En el caso de plugins y temas PREMIUM existen plataformas como聽Themeforest聽(temas) y聽Codecanyon聽(plugins) donde puedes comprarlos con total seguridad.
Evita descargar plugins y temas de otros sitios web聽que se ofrecen como "gratis" ya que suelen venir con c贸digos esp铆as como virus y malware que, no solo infectaran tu instalaci贸n de WordPress, si no que tambi茅n infectar谩n tu ordenador (computadora).
Normalmente estos sitios tienen el indicativo Nulled聽en el t铆tulo.
Es recomendable聽realizar copias de seguridad聽peri贸dicas de tus archivos y base de datos ya que, si en alg煤n momento se infecta tu instalaci贸n, puedas restaurarla con una versi贸n limpia y puedas realizar las actualizaciones respectivas.
En la lecci贸n,聽copias de seguridad en WordPress, te indico algunos m茅todos para realizar esta tarea con total seguridad.
A Google no le gusta los sitios web con software malicioso. En sus directrices para webmaster especif铆ca que聽se debe evitar el uso de software malicioso en sitios web.
Por esta raz贸n es importante聽crear una cuenta en Google Search Console聽(antiguamente Herramientas para Webmasters de Google) ya que esta herramienta te ofrece una seguridad adicional para que Google te mantenga informado sobre:
En la lecci贸n,聽crear una cuenta en Google Search Console, veremos los pasos para crear y configurar una cuenta en Google Search Console.
Cuando se tiene un sitio web con formularios de contacto o de comentarios, es muy probable de que recibas聽SPAM. Estos son f谩ciles de detectar ya que est谩n compuestos por muchos enlaces y palabras claves generadas por robots.
Las siguientes acciones te ayudar谩n a proteger tu sistema de comentarios:
En la lecci贸n,聽comentarios en WordPress, veremos como configurar correctamente los comentarios e integrar Akismet en WordPress.
Para proteger tus formularios de contacto:
En la lecci贸n,聽formularios en WordPress, veremos con m谩s detalle como integrar este servicio a nuestros formularios de contacto en WordPress.
La mayor铆a de medidas anteriormente descritas se realizan manualmente aunque existen otras medidas adicionales de聽seguridad en WordPress聽que se podr铆an aplicar.
Instalando un聽plugin de seguridad como Wordfence, muchas de estas medidas adicionales estar谩n cubiertas con un solo clic.
Anuncio publicitario
Adem谩s de las t茅cnicas anteriores, se pueden aplicar otras t茅cnicas m谩s avanzadas para mejorar la聽seguridad en WordPress聽a帽adiendo reglas adicionales en los archivos聽wp-config.php聽y聽.htaccess.
Estos 2 archivos son los que聽controlan el funcionamiento de WordPress聽y es muy recomendable que sepas para que sirven y como editarlos.
Para aplicar estas t茅cnicas, es muy recomendable que sepas bien lo que haces. Cualquier error en una letra o s铆mbolo puede hacer que tu sitio web deje de funcionar.
Para que te familiarices con la edici贸n de archivos, en la entrada, editar archivos en WordPress, te indico 3 sencillos m茅todos para que sepas como editar archivos en WordPress.
Aseg煤rate que los permisos para los directorios (carpetas) y archivos de la raiz de WordPress sean los siguientes:
Esto lo puedes realizar mediante FTP (con FileZilla) o desde cPanel.
Como te he mencionado, el archivo .htaccess controla parte del聽funcionamiento de WordPress聽por lo que es muy recomendable y necesario protegerlo contra intentos de ataques.
Para esto vale con a帽adir la siguiente regla al inicio del聽archivo .htaccess:
<files .htaccess>
order allow,deny
deny from all
</files>
El archivo de configuraci贸n de WordPress,聽wp-config.php, contiene los datos de la base de datos de WordPress. Es muy importante que protejas este archivo ya que, si alg煤n hacker se hace con estos datos, te quedar谩s sin WordPress.
Para esto puedes realizar las siguientes acciones:
<files wp-config.php>
order allow,deny
deny from all
</files>
La聽vulnerabilidad pingback聽est谩 relacionada con el聽protocolo XML-RPC聽y es el que permite que WordPress se conecte v铆a remota con la aplicaci贸n WordPress para iOS o Android y se env铆en pingbacks o trackbacks en los comentarios.
El archivo relacionado es聽xml-rcp.php聽que se encuentra alojado en la ra铆z del directorio. Este archivo es muy vulnerable a ataques por lo que ser铆a recomendable bloquear este archivo si no sueles utilizar WordPress mediante las anteriores aplicaciones.
La mejor manera de hacerlo es a帽adir la siguiente regla al inicio del聽archivo .htaccess:
<files xmlrpc.php>
order allow,deny
deny from all
</files>
La carpeta o directorio聽uploads, que se encuentra en la ruta聽wp-content/uploads/, es donde se aloja todo el contenido multimedia, como im谩genes y archivos, y es muy susceptible a ataques. Es recomendable proteger este directorio para que los hackers no tengan acceso.
Para esto tendr铆amos que crear un archivo .htacces dentro de la carpeta uploads (tendr铆a la ruta wp-content/uploads/.htaccess) y, en este archivo .htaccess, a帽adir la siguiente regla al inicio. Si ya existe el archivo, solo tenemos que editarlo.
<files ~ ".*\..*">
order allow,deny
deny from all
</files>
<filesmatch "\.(jpg|jpeg|jpe|gif|png|bmp|tif|tiff|doc|pdf|rtf|xls|numbers|odt|pages|key|zip|rar)$">
order allow,deny
allow from all
</filesmatch>
Wordfence es uno de los mejores plugins que existen de seguridad en WordPress. Es un plugin gratuito (tambi茅n ofrece versi贸n PRO con funciones extra) que se encuentra en el repositorio de plugins de WordPress.
Este plugin instala un potente firewall en WordPress bloqueando IP's y limitando los intentos masivos de acceso al panel de administraci贸n de WordPress.
A continuaci贸n te indico los pasos para instalar y configurar el plugin de seguridad en WordPress:
https://es.wordpress.org/plugins/wordfence/
Para instalar el plugin:
Una vez actives el plugin, Worfence te mostrar谩 una ventana donde debes ingresar un correo electr贸nico para recibir alertas de seguridad聽de los ataques que recibe tu sitio web.
A continuaci贸n te pide que ingreses el n煤mero de licencia en caso que hayas adquirido la versi贸n PREMIUM. Si est谩s utilizando la versi贸n gratuita, haz clic en el enlace聽No Thanks.
En la parte superior de la pantalla ver谩s un aviso:聽To make your site as secure as possible, take a moment to optimize the Wordfence Web Application Firewall:. Haz clic en el bot贸n聽CLICK HERE TO CONFIGURE.
Se abrir谩 otra ventana donde tendr谩s que seleccionar una configuraci贸n del servidor. Deja seleccionada la que indica por defecto:聽recomended based on our test.
Es posible que esta recomendaci贸n sea diferente a la de la imagen anterior. Eso depender谩 del servidor que est茅s utilizando.
Haz clic en el bot贸n聽DOWNLOAD .HTACCESS聽y luego clic en el bot贸n聽CONTINUE. Te mostrar谩 otra ventana indicando que el firewall est谩 configurado. Haz clic en el bot贸n聽CLOSE.
Para finalizar con la configuraci贸n del firewall, ver谩s un bloque llamado聽Web Application Firewall Status. Selecciona聽Enabled and Protecting聽y haz clic en el bot贸n聽SAVE CHANGES聽en la parte superior derecha de la pantalla.
En el men煤 principal de WordPress dir铆gete al aparatado聽Wordfence >> Dashboard. Haz clic en聽Global Options聽(icono de rueda dentada).
Estas opciones se pueden ir configurando seg煤n las necesidades que tengas. Una vez hayas realizado una configuraci贸n personalizada para tu sitio web, desde el apartado聽Import/Export Options, podr谩s exportarlas mediante un c贸digo (token) para luego importarlas en otras instalaciones de WordPress.
En el men煤 principal de WordPress dir铆gete al aparatado聽Wordfence >> Scan. Haz clic en el bot贸n聽START NEW SCAN聽para comenzar con el escaneo de todos tus archivos de WordPress.
En la parte inferior de la p谩gina podr谩s observar el proceso de escaneo y las vulnerabilidades que presenta tu sitio web.
Como puedes observar en la imagen anterior, Wordfence indica que existen 2 vulnerabilidades:
Anuncio publicitario
Realizando estos simples pasos y con este potente plugin de聽seguridad en WordPress, tendr谩s una instalaci贸n completamente segura.
Es posible que existan m谩s t茅cnicas para mantener seguro WordPress. Si conoces alguna que no haya indicado en esta lecci贸n, te invito a que lo compartas con el resto de usuarios聽dejando un comentario al final de esta lecci贸n.
No me gusta el SPAM y se que a ti tampoco. S贸lo recibir谩s informaci贸n 煤til sobre WordPress.
Al enviar, confirmas que has le铆do y aceptas la pol铆tica de privacidad. Conoce nuestro compromiso con tu privacidad.
Hola,
Agradezco tu tiempo y conocimiento compartido.
Todo me parece bien, no estoy muy convencido es con el plugin wordfence, pero la informaci贸n no esta actualizada, si lo haces ya me suscribi y revisar.
Gracias.
Perdon! me ha surgido otra duda: revisando el codigo que hay que subir a la carpeta upload, le das permiso para subir esas extensiones que indicas, pero por ejemplo csv y txt no est谩n, y la extension csv es la que se usa para poder cargar datos de productos de forma masiva. Yo lo uso con el importador de wordpress
Si a帽ado este c贸digo que indicas, se bloquea este asistente importaci贸n?
Hola Juan, podr铆as a帽adir estas extensiones si tambi茅n las utilizas en el c贸digo utilizando la barra "|" como separador. Un saludo!
Hola Gian, estoy intentando aplicar tus recomendaciones a mi web y en el apartado de modificar los permisos de wp-config, mi sistema de mi hosting no me lo permite, no es raiola network en mi caso. Les podr铆a preguntar al servicio de soporte pero antes queria entender el por qu茅 se hace esto, si me lo puedes aclarar te lo agradezco.
En cuanto al c贸digo a a帽adir al "htacces", se lo a帽ado igualmente a pesar de no poder tocar este fichero?
Gracias por tu tiempo
Hola Juan, esto es algo delicado que te recomiendo que hagas con cuidado. Cambiar el permiso del archivo wp-config.php a 444 es para protegerlo de ataques externos. Si no te lo permite, contacta con el soporte t茅cnico de la empresa donde has contratado el hosting. Las reglas del archivo .htaccess, a帽谩delas 1 a 1 y prueba si tu sitio web carga bien. Dependiendo de la configuraci贸n de tu hosting, pude que algunas reglas no funcionen. Un saludo!
Tengo entendido que cambiar la URL de acceso al administrador es otra buena practica. En mi caso he usado un plugin para ello, otro m谩s, xq no he sido capaz de encontrar como hacerlo a mano. Tienes alguna idea para ello? Por cierto, 1000 gracias por tus aportes
Hola Juan, hacerlo a mano es posible pero har铆a falta un poco de conocimientos de programaci贸n. Lo mejor es utilizar un plugin de Seguridad, como iThemes Security (la versi贸n Pro) que adem谩s de ayudarte con la seguridad en general del sitio web, podr谩s cambiar la URL del administrador. Un saludo!
Hola Gian. Excelente tu blog. Me gustaria preguntarte algo con lo que estoy trabado. Despues de hacer todas las modificaciones al archivo .htaccess como suger铆s, ya no puedo visualizar m谩s mi blog, y en su lugar me aparece un error 403 Forbidden. tampoco puedo entrar a WordPress para administrarlo ni nada. Es decir la proteccion que le doy es tanta que ni yo puedo acceder! jaja. C贸mo lo puedo solucioar? Desde ya muchas gracias!!
Hola Germ谩n, muchas gracias por tu comentario. Hab铆a un error en el contenido que ya he corregido. Tendr铆as que editar el archivo .htaccess y borrar la regla para proteger la carpeta de archivos multimedia que es la que ha causado el problema. He probado el resto de reglas y funcionan bien. En el punto 2.5 puedes leer la actualizaci贸n. Un saludo!
Muchas Gracias Gian!! Lo prob茅 y funcion贸 perfecto!! El aporte que haces con este blog es excelente!! Muchisimas gracias!!
De no haber sido por tu comentario no me hubiera dado cuenta del fallo. Gracias a ti y espero que disfrutes del curso. Saludos!