Estás aquí:Inicio-Internet-Tips desarrollo Web-Consejos para mejorar la seguridad en WordPress

Consejos para mejorar la seguridad en WordPress

Hace unos días, la popular agencia de posicionamiento SEO, autora del famoso plugin YOAST, publicó un mini guía con consejos para mejorar la seguridad en WordPress.  El famoso complemento de optimización SEO tiene más de 5 millones de descargas tan solo en WordPress. Debido a su experiencia con WordPress, Yoast dedica una publicación con unos sencillos consejos de seguridad para aquellas personas menos experimentadas en la tecnología de sus páginas Web.

Consejos para mejorar la seguridad en WordPress

 

Vamos a dar un repaso a algunos de estos consejos en la siguiente lista:

1. No usar “admin” como nombre de usuario

Una gran mayoría de hackeos a páginas Web se basan en simples ataques por fuerza bruta, que intentan averiguar el acceso al área de administración de WordPress. Si de salida ya no tienen que averiguar el nombre de usuario administrador, los ataques por fuerza bruta pierden toda su efectividad. Es importante no utilizar nombres comunes como “admin”, “administrator”, “demo”, “user1”, “administrador”, etc. como nombre de usuario y cambiarlo por otro si es el nombre de usuario actual.

2. Utilizar una contraseña compleja

Disponer de una contraseña más compleja hace que un ataque por fuerza bruta sea mucho menos efectiva. Es importante crear una contraseña compleja, larga y única.

En la actualidad son muchas contraseñas las que hay que memorizar de las diferentes plataformas en las que estamos dados de alta como bancos, tiendas online, compañía de la luz, etc. Es por ello que existen herramientas que pueden hacernos la vida más fácil. Podemos utilizar herramientas para almacenar nuestras contraseñas como KeePass Password Safe.

3. Utilizar autenticación en 2 pasos

Incluso sin utilizar el nombre de usuario “admin” y con una contraseña compleja y única, los ataques por fuerza bruta pueden seguir siendo un problema. Para llevar la seguridad al nivel máximo es posible utilizar la autenticación en 2 pasos para obligar a confirmar el login introduciendo un código recibido en un dispositivo móvil que posees.

Si eres un Webmaster que gestiona la Web a diario, creemos que la verificación en 2 pasos no es necesaria si dispones de una instancia WordPress con un único usuario administrador sin usuarios adicionales. Pero en caso de disponer de varios usuarios y posibles suscriptores, esta opción es más que recomendable. Existen plugins como Google Authenticator para implementar esta función en WordPress.

4. Gestionar los privilegios con prudencia y de manera austera

Cuando gestionamos permisos de administrador para otros usuarios, es conveniente entregar solo los permisos necesarios y durante el tiempo necesario para las tareas necesarias:

  • Solo a aquellos usuarios que lo necesitan.
  • Únicamente cuando lo necesitan.
  • Solamente durante el tiempo que lo necesitan.

Así por ejemplo, si alguien solicita acceso de tipo administrador para un cambio de configuración, se lo podemos dar, retirando el permiso de administrador una vez haya terminado la tarea.

5. Esconder el fichero wp-config.php y .htaccess

Los ficheros wp-config.php y .htaccess son críticos para la seguridad de WordPress. Suelen contener información crucial acerca de las credenciales de acceso al sistema y exponen información sobre la estructura y configuración de una página Web. Asegurar que los usuarios no pueden acceder a estos ficheros es muy importante.

Podemos utilizar el siguiente código para no permitir cualquier intento de acceso no autorizado a los ficheros escribiendo las siguientes líneas en el fichero .htaccess. Debemos hacer una copia de seguridad de los ficheros antes de realizar los cambios:

Para impedir el acceso al fichero wp-config.php: <Files wp-config.php>
order allow,deny
deny from all
</Files>
Para impedir el acceso al fichero .htaccess: <Files .htaccess>
order allow,deny
deny from all
</Files>

6. Utilizar claves de seguridad y salts para la autenticación

Las salts de WordPress, junto con las claves de seguridad, consisten en una herramienta criptográfica para proteger la información de las cookies que WordPress utiliza para iniciar sesión.

El fichero wp-config.php tiene un área dedicada donde puedes facilitar variables propias. Podemos obtener una serie de claves nuevas desde el siguiente enlace.

7. Deshabilitar la edición de ficheros

Si un hacker consigue obtener acceso a un sitio Web WordPress, la forma más fácil que tiene para editar los ficheros de la instancia Web es desde “Apareciencia -> Editor”. Para mejorar la seguridad de WordPress, podemos deshabilitar la edición de esos ficheros mediante el propio editor de WordPress.

Podemos conseguirlo añadiendo la siguiente línea en el fichero wp-config.php:

define('DISALLOW_FILE_EDIT', true);

Podremos seguir editando el fichero si accedemos mediante un cliente ftp pero no podremos editar los ficheros desde dentro del propio backoffice de WordPress.

8. Esconder la url al administrador de WordPress y limitar los intentos de login

Los ataques por fuerza bruta suelen apuntar a la pantalla de login. Cambiar la dirección url de la pantalla de login hará mucho más complicado que los atacantes puedan marcar la Web como objetivo. Existen plugins como All In One WP Security & Firewall que le permitirán cambiar la url por defecto de la pantalla de login “wp-admin” a otra distinta.

También es conveniente limitar el número de intentos de hacer login desde una misma dirección IP a la Web. Existen varios plugins para esta tarea aunque es conveniente que la empresa de hosting de su Web ya tenga políticas activas de seguridad en este sentido que estén controlando los accesos.

9. Ser selectivo con el protocolo XML-RPC

XML-RPC es un una API para aplicaciones externas. Permite interactuar con una instalación de WordPress utilizando aplicaciones o servicios externos. Por ejemplo, el famoso plugin Jetpack consiste en un mega-plugin que incluye otros plugins normalmente separados en un solo pack. Jetpack utiliza el protocolo xmlrpc para funcionar.

A no ser que estemos totalmente seguros de lo que hacemos, no recomendamos desactivar XML-RPC dado que podrían dejar de funcionar algunos de nuestros plugins o alguna característica concreta de nuestra Web. Sin embargo, existen plugins para configurar los niveles de acceso XML-RPC para ser más selectivos.

10. Elegir la compañía de Hosting adecuada

Elegir un servicio de hosting adecuado es un factor fundamental para la seguridad de una página Web. Un servicio de hosting barato no suele incluir las medidas de seguridad adecuadas o características como copias de seguridad automáticas. Si un atacante obtiene acceso al hosting de la página Web, tendrá el control completo de todo. En este artículo damos algunos consejos para saber elegir el Hosting adecuado para una página Web.

11. Mantener actualizada la página Web

Mantener actualizada la plataforma Web es uno de los aspectos críticos de su seguridad e integridad. No siempre es posible si no tenemos los conocimientos necesarios o un desarrollador Web que se encargue de hacerlo.

Es muy importante mantener actualizado el núcleo de WordPress, el tema/plantilla que esté instalado y los plugins que estén instalados.

Cuando no se cuenta con una empresa de desarrollo o Webmaster existen alternativas como contratar un servicio de firewall WAF (cortafuegos WAF). Este servicio puede mantener una Web protegida aunque no esté actualizada. Existen suscripciones a este tipo de servicio de fácil instalación como el de SUCURI LIMPIAWEB de novored.

12. Añadir capas de seguridad adicionales

Las mejores soluciones de seguridad impiden que los atacantes puedan resultar una amenaza de cualquier tipo para una Web. Por eso se suele recomendar la utilización de un plugin cortafuegos. Estos plugins suelen buscar patrones de ataque comunes y atacantes conocidos. Otra opción, es la de poner la Web detrás de una red de distribución de contenido o CDN que suele incorporar un firewall WAF. Algunos ejemplos son SUCURI o Cloudfare.

13. Ser selectivo con los plugins y temas

Existen muchos temas gratuitos de baja calidad, otros que no son actualizados por parte del desarrollador o que directamente han sido abandonados. Recomendamos comprobar los plugins que tenemos instalados en el sitio Web y tenerlos bien identificados, descartando o señalando aquellos que puedan representar una amenaza por no haberse actualizado en mucho tiempo. En este artículo damos unos consejos para saber elegir los mejores plugins para WordPress.

 

——————— El Hosting Número 1 en España - WebEmpresa

Contrata un alojamiento Web y Nombre de dominio con todas las garantías en el Hosting Número 1 de España, WebEmpresa

 

Pueden interesarte los siguientes artículos:

Esenciales para crear paginas web en 2019 – Checklist

Con tantos consejos y recomendaciones en internet para realizar un proyecto Web, parece increíble que las agencias de Diseño Web o usuarios que crean su propia página Web, sigan olvidándose de elementos esenciales a la hora de crearla. Veamos un checklist de consejos imprescindibles para crear páginas web

Por |1 de abril, 2019|Categorías: Tips desarrollo Web, Internet|Etiquetas: , |Comentarios desactivados en Esenciales para crear paginas web en 2019 – Checklist

6 consejos para no perder tu nombre de dominio en Internet

¿Has pensado en la posibilidad de que pudieras perder el nombre de dominio que representa a tu empresa por no haberlo contratado siguiendo los pasos correctos? Te mostramos 6 consejos para contratar tu nombre de dominio en Internet de manera segura.

Por |25 de febrero, 2019|Categorías: Tips desarrollo Web, Internet|Comentarios desactivados en 6 consejos para no perder tu nombre de dominio en Internet

¿Cómo elijo los mejores plugins para mi página Web WordPress?

¿Cómo elijo un buen Plugin para mi página Web Wordpress? Con más de 50.000 plugins en el directorio oficial de Wordpress, un usuario novato puede encontrar dificil buscar y elegir los mejores plugins wordpress para una tarea.

Por |4 de enero, 2019|Categorías: Tips desarrollo Web, Internet|Comentarios desactivados en ¿Cómo elijo los mejores plugins para mi página Web WordPress?

 

Kaspersky Antivirus - El mejor antivirus al mejor precio
 
Por |2020-05-06T09:43:06+02:006 de mayo, 2020|Categorías: Tips desarrollo Web, Internet|0 Comentarios

Sobre el autor:

Programador informático, consultor y administrador de novored.com Especializado en consultoría tecnológica. Tiene especial interés en las nuevas tecnologías y las soluciones y comunidad opensource, las cuales intenta promocionar e incentivar a través de novored.com. Entre sus preocupaciones está el grado de penetración y comprensión de las nuevas tecnologías en España.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Volver arriba