Guía de seguridad en WordPress

guia de seguridad en wordpress

La seguridad debería ser un asunto de vital importancia para cualquier propietario de página web realizada con WordPress. Cada día Google incluye en su lista negra alrededor de 10.000 sitios web por malware y cada semana alrededor de 50.000 por phishing.

Si realmente te importa tu página web es necesario que tengas en cuenta ciertas prácticas relativas a seguridad en WordPress. En esta guía de seguridad en WordPress se detallan los más importantes consejos de seguridad para ayudarte a proteger tu sitio web contra piratas informáticos y malware.

Índice de contenidos

La seguridad en WordPress

El equipo de seguridad de WordPress trabaja constantemente para identificar y subsanar problemas de seguridad. Además realizan recomendaciones y documentan las mejores prácticas de seguridad para desarrolladores. 

Aún así, aunque el software de WordPress es bastante seguro, podemos hacer mucho más para mantener nuestro sitio web a salvo ya que no debemos descuidar ciertos aspectos. Y este es el motivo de esta guía de seguridad en WordPress.

¿Por qué es importante la seguridad de tu web?

Si hackean nuestro WordPress, los costes pueden ser elevados y no solo por tener que contratar a un técnico para que solucione el problema sino que también hay que tener en cuenta la pérdida de ventas, clientes potenciales y nuestra reputación. Los piratas informáticos pueden robar información de nuestros usuarios, nuestras contraseñas, instalar software malintencionado e incluso difundir dicho software a otras víctimas empleando nuestra página web.

Y una de las peores cosas que nos puede ocurrir es acabar pagando a los hackers para recuperar el acceso a nuestra tienda online o página web por un ataque de ransomware.

Si tu página web es tu negocio, presta especial atención a la seguridad en WordPress.

La importancia de un hosting seguro

Un buen hosting tiene en cuenta la seguridad y pone las medidas necesarias para proteger sus servidores contra las amenazas de los hackers, supervisando continuamente sus equipos en busca de actividades sospechosas.
Disponen de herramientas para prevenir ataques DDoS a gran escala y mantienen toda su infraestructura actualizada para evitar que los hackers exploten cualquier vulnerabilidad de seguridad.

Las empresas de hosting serias ofrecen copias de seguridad automáticas para proteger tu página web y desarrollan planes internos de recuperación en caso de fallo, lo que les permite proteger los datos alojados en caso de accidente.

Emplea un certificado SSL

Actualmente es necesario instalar un certificado SSL sobre todo si tienes una tienda online. No sólo para mejorar el SEO de nuestro sitio web, sino por que de esta manera los datos de las transacciones de tus clientes viajarán encriptados por la red.

Con un certificado SSL toda la información se envía de forma cifrada al servidor con el fin de que si alguien trata de robar tus datos conectándose a tu web, solo consiga ver una cadena de caracteres inservible.

Dispones de más información al respecto en nuestro artículo ¿Necesito instalar un certificado SSL en mi sitio web?

Certificado SSL en WordPress

Contraseñas seguras y permisos de usuario

La mayor cantidad de ataques a WordPress emplean el método de fuerza bruta para robar tu contraseña de acceso. Es necesario que les dificultes el trabajo a los hackers empleando contraseñas fuertes y únicas para cada página web.

Además conviene aplicar el mismo criterio a tus cuentas de FTP, al acceso a tu base de datos, al acceso al hosting y a las claves de tu correo electrónico corporativo (las que utilizan el mismo nombre de dominio que tu web).

A la mayoría no les gusta emplear contraseñas fuertes porque son difíciles de recordar, pero puedes tener una libreta en un lugar seguro o mejor aún, un gestor de contraseñas en tu móvil.

Otro aspecto importante para reducir el riesgo es no proporcionar acceso a nadie a tu cuenta de administrador de WordPress. Si en tu empresa dispones de un equipo de trabajo, asegúrate de que comprendes el funcionamiento de los roles de los usuarios en WordPress antes de añadir nuevas cuentas de usuario. En la sección usuarios de nuestro manual de uso de WordPress, tienes más información relativa a los roles y cuentas de usuario.

Actualiza regularmente WordPress

WordPress es un CMS de código abierto que se mantiene y actualiza regularmente de manera automática. Existen además centenares de plugins y temas susceptibles de ser instalados en tu sitio web que a su vez reciben actualizaciones regularmente.

Estas actualizaciones, tanto del núcleo de WordPress como de temas y plugins, son cruciales para la seguridad y la estabilidad de tu página web WordPress. Así pues, deberás asegurarte de que el núcleo, los plugins y los temas de WordPress estén siempre actualizados. Aunque WordPress recomienda activar las actualizaciones automáticas incluso para plugins y temas, yo te recomiendo que lo hagas manualmente en estos casos, ya que tendrás que asegurarte de que son 100% compatibles con tu versión de WordPress.

Asegura tu WordPress de manera simple

Involucrarte en esta tarea puede producirte respeto, sobre todo si eres principiante y no eres un experto en tecnología, pero te aseguro que es muy sencillo.

Podrás mejorar la seguridad de tu WordPress siguiendo unos pocos pasos y sin conocimientos de programación.

Realiza copias de seguridad periódicas de tu WordPress

Esta acción es fundamental para salvaguardar tus datos, no solo en WordPress, sino también en tu equipo de casa o de trabajo. Los accidentes ocurren y las copias de seguridad son tu primera defensa contra cualquier percance o ataque a tu página web WordPress.

Un buen plugin de copia de seguridad te permitirá restaurar rápidamente tu sitio web WordPress en caso de que ocurra cualquier desastre.

Existen decenas de plugins de copia de seguridad gratuitos que puedes emplear. Duplicator, UpdraftPlus o BlogVault son algunos de los mejores, pero lo más importante que debes hacer es guardar regularmente tus copias de seguridad en una ubicación remota como por ejemplo Dropbox, OneDrive o Google Drive.

En función de la frecuencia con la que actualices tu página web, o si tienes un tienda online lo ideal sería hacer copias de seguridad una vez al día. Si tu hosting dispone de copias automáticas recuerda descargarlas periódicamente a una ubicación remota.

Emplea un plugin de seguridad en WordPress

El siguiente paso que debemos seguir para mejorar la seguridad en WordPress es instalar un plugin de seguridad. Este realizará un seguimiento continuo de todo lo que sucede en nuestra página web, supervisará la integridad de nuestros archivos, vigilará los intentos fallidos de inicio de sesión, realizará escaneos de malware, etc.

Al igual que con la copia de seguridad tienes muchas opciones para descargar pero te recomiendo que emplees el plugin Sucuri Security por su sencillez y por que es gratuito.

Una vez lo hayas instalado y activado el plugin realizará un chequeo de integridad de WordPress y si todo está correcto tendrás un resultado parecido a este.

guia de seguridad en wordpress 2

Plugin de seguridad en WordPress

Podrás generar una clave de API gratuita para evitar que los atacantes puedan eliminar los registros de auditoría. Además permite que el plugin muestre estadísticas y envíe alertas por correo electrónico. 

Lo siguiente que podrás hacer es pulsar en la pestaña “Refuerzo” del menú de Ajustes para acceder a opciones adicionales.

guia de seguridad en wordpress 3

Plugin de seguridad en WordPress – Opciones de refuerzo

Estas opciones te ayudarán a bloquear las áreas clave que los hackers suelen utilizar en sus ataques, siendo la única opción de pago la protección de cortafuegos de la web.

Si necesitas instalar un firewall para tu aplicación, te recomiendo que instales WordFence en lugar de Sucuri. WordFence también es gratuito con funciones Premium de pago. Ofrece un firewall en su versión gratuita y es mucho más completo, pero algo más complejo de usar. El propósito de esta guía es asegurar nuestro WordPress de manera sencilla y la configuración por defecto del plugin Sucuri es lo suficientemente buena para la mayoría de las página web.

Eso sí, la configuración por defecto de las alertas puede llegar a ser bastante impertinente y saturar tu bandeja de entrada con correos electrónicos. Te recomiendo que configures las alertas sólo para las acciones importantes como cambios en los plugins o el registro de nuevos usuarios.

Más opciones avanzadas

Si has hecho todo lo que hemos mencionado hasta ahora tu WordPress tendrá un nivel de seguridad muy bueno, pero siempre se puede hacer más para reforzar la seguridad de tu página web.
Las medidas que se describen a continuación requieren algo más de conocimiento y la edición de ficheros clave en tu WordPress.

No emplees "admin" como nombre de usuario

En las versiones anteriores de WordPress el nombre de usuario por defecto de la cuenta administrador era “admin“. Como el nombre de usuario es la mitad de las credenciales de acceso a tu WordPress, tener el nombre “admin” facilita a los hackers realizar ataques de fuerza bruta. En las versiones actuales de WordPress ya se requiere un nombre de usuario personalizado en el momento de su instalación.

Emplea nombres de usuario complejos y distintos para cada web. Constantemente vemos intentos de acceso repetidos por parte de los piratas, usando nombres de usuario del tipo “admin” o con el nombre del dominio que está siendo objeto del ataque. Como WordPress no permite cambiar los nombres de usuario por defecto, puedes emplear uno de estos métodos para cambiar el nombre de usuario:

  • Crea un nuevo usuario con un nombre seguro y rol de administrador, luego elimina el antiguo.
  • Cambia el nombre de usuario directamente en tu base de datos desde phpMyAdmin.
  • Emplea un plugin del tipo Username Changer

Desactiva el editor de temas

WordPress lleva integrado un editor de código para poder editar los temas y plugins directamente desde el área de administración de WordPress. Te recomiendo desactivar esta característica ya que es un riesgo potencial de seguridad. Si necesitas realizar alguna modificación del tema, es preferible que la realices vía FTP o cpanel y emplear un tema hijo.

guia de seguridad en wordpress 3-1

Editor de temas de WordPress

Puedes desactivar fácilmente el editor de temas de WordPress añadiendo el siguiente código a tu archivo wp-config.php.

/** DESACTIVAR EDITOR DE TEMAS */
define( ‘DISALLOW_FILE_EDIT’, true );

guia de seguridad en wordpress 4

Desactivar el editor de temas

Limita los intentos fallidos de acceso

WordPress permite que un usuario pueda intentar iniciar sesión tantas veces como quiera. Esta vulnerabilidad es explotada por los piratas para realizar ataques de fuerza bruta. Mediante un bot, tratan de descifrar tus contraseñas intentando iniciar sesión con multitud de combinaciones.

Si tienes instalado un firewall como el que viene por defecto en la versión gratuita de WordFence esto se soluciona automáticamente. Sino, puedes solucionarlo fácilmente limitando los intentos fallidos de inicio de sesión mediante el plugin Login LockDown

guia de seguridad en wordpress 5

Opciones de bloqueo de reintentos de login en WordPress

Una vez instalado y activado dirígete al menú de WordPress Ajustes -> Login LockDown para configurarlo. En esta página podrás establecer el número máximo de intentos de login hasta que salte la protección de bloqueo temporal. Esto imposibilita el acceso al back end de WordPress durante el tiempo establecido en el campo Retry Time Period Restriction.

Incluye autenticación de doble factor

Esta técnica requiere que cualquier usuario se registre en el back end de WordPress empleando el método de autenticación en dos pasos. El primer paso es introducir el nombre de usuario y la contraseña, y el segundo paso obliga a que se autentique de nuevo el usuario utilizando una app en un dispositivo móvil .

Para ello tienes que instalar el plugin Two Factor Authentication y después de activarlo acceder al menú de WordPress Identificación de dos factores.

guia de seguridad en wordpress 6

Configurando la autenticación de doble factor

Ahora instala Google Authenticator en tu teléfono móvil. Existen más aplicaciones, pero esta es de las pocas que hacen copias de seguridad de tus cuentas en la nube, lo cual es muy útil en caso de que tu teléfono se pierda, se restablezca o adquieras uno nuevo.


Abre la aplicación Authenticator en tu móvil y toca en el signo + de la esquina inferior derecha para añadir una nueva cuenta. En el desplegable selecciona Escanea código QR, acerca el móvil al código QR mostrado en tu pantalla y la aplicación hará el resto. Podrás ver tu nombre de dominio, tu nombre de usuario entre paréntesis y un código de 6 dígitos que se regenera cada 30 segundos.

guia de seguridad en wordpress 7

Añadir cuenta en Google Authenticator

Eso es todo, la próxima vez que quieras iniciar sesión en tu página web WordPress se te pedirá tu nombre de usuario y contraseña como hasta ahora e inmediatamente después se le solicitará el código de autenticación de doble factor.

guia de seguridad en wordpress 8

Introducir el la contraseña de un solo uso

Simplemente tendrás que abrir Google Authenticator en tu móvil e introducir la contraseña que se muestra para tu cuenta en este dominio.

Cambia el prefijo de las tablas de WordPress

WordPress utiliza por defecto “wp_” como prefijo para todas las tablas de la base de datos. Si tu página web WordPress está empleando dicho prefijo por defecto, te recomiendo cambiarlo ya que le estamos poniendo más fácil a los piratas adivinar cuál es el nombre de nuestras tablas.

Puedes cambiar el prefijo de tu base de datos de forma manual siguiendo nuestra guía Cambiar el prefijo de la base de datos de WordPress, o bien empleando el plugin Brozzme DB Prefix & Tools Addons.

Una vez lo hayas instalado dirígete al menú de WordPress Herramientas -> DB PREFIX, elige el nuevo prefijo y dale al botón Change DB Prefix.

guia de seguridad en wordpress 9

Cambio del prefijo de las tablas de la base de datos

Nota: Haz siempre una copia de seguridad antes de realizar ningún cambio en la base de datos ya que puedes dejar tu WordPress fuera de servicio si no se hace correctamente. 

Deshabilita la indexación y exploración de directorios

Los piratas usan la exploración por directorios para averiguar si tienes algún archivo con vulnerabilidades conocidas dentro de tu instalación de WordPress. De este modo aprovechan estos archivos descubiertos para obtener acceso a tu página web.

Además, la exploración por directorios también puede ser empleada por otros para ver tus archivos, copiar imágenes, averiguar la estructura de directorios, etc. Por eso es recomendable que desactives la indexación y navegación por directorios.

guia de seguridad en wordpress 10

Exploración por directorios de WordPress

Si quieres evitar la exploración por directorios lo puedes hacer conectándote por FTP o mediante cPanel a tu página web, localizando el archivo . htaccess en el directorio raíz y añadiendo la siguiente línea al final del archivo:

Options -Indexes

Recuerda guardar y subir de nuevo el archivo . htaccess modificado a tu sitio web.

Evita ataques de DDoS deshabilitando XML-RPC

guia de seguridad en wordpress 11

La funcionalidad XML-RPC se activó por defecto a partir de la versión 3.5 de WordPress para permitir conectar tu página web con aplicaciones web y móviles. Precisamente al ser una funcionalidad potente, puede ser empleada por terceros para conseguir un punto de entrada realizando ataques por fuerza bruta.

Por ejemplo, si un pirata informático quisiera probar a acceder a tu sitio web con 1000 contraseñas diferentes, tendría que hacer 1000 intentos de inicio de sesión los cuales serían detectados y bloqueados por nuestro plugin de bloqueo de inicio de sesión. Con XML-RPC, el pirata podrá emplear la función system.multicall para probar esas 1000 contraseñas con sólo 20 o 30 peticiones.

Puedes evitar esto de dos maneras.

  • Deshabilitando por completo XML-RPC.
  • Instalando en tu web un firewall que la proteja mediante reglas avanzadas.

Si anteriormente instalaste WordFence ya tendrás tu firewall funcionando y no tendrás que preocuparte. En caso contrario puedes deshabilitar XML-RPC mediante el plugin XMLRPC Disable.

Si prefieres hacerlo manualmente puedes añadir esta línea a tu fichero functions.php:

add_filter(‘xmlrpc_enabled’, ‘__return_false’);

Desactiva PHP en directorios seleccionados

Otra manera de aumentar la seguridad de tu página web WordPress es deshabilitando la ejecución de archivos PHP en directorios donde no es necesario como /wp-content/uploads/. Puedes hacerlo abriendo un editor de texto como el Bloc de notas y escribiendo este sencillo código:

<Files *.php>
deny from all
</Files>

A continuación, has de guardar este archivo como . htaccess y subirlo a las carpetas /wp-content/uploads/ o a las que quieras desactivar la ejecución de PHP empleando un cliente FTP o cPanel.

Analizar vulnerabilidades y malware en WordPress

El plugin de seguridad que instalamos con anterioridad ya está comprobando y lo hará de forma periódica si hay malware o fallos de seguridad en nuestra instalación de WordPress. Pero si te das cuenta que el tráfico de tu página web cae repentinamente o tus clasificaciones de búsqueda sufren un bajón, no estará de más ejecutar un escaneo de forma manual.

Esto lo podemos realizar mediante nuestro plugin de seguridad o empleando alguno de los escáneres online existentes como Virustotal Sucuri.
Si quieres, puedes echar un vistazo a mi artículo los mejores escáneres de seguridad para WordPress donde podrás encontrar un análisis sobre los más relevantes analizadores online.

Emplearlos es muy sencillo, sólo tienes que introducir la URL de tu página web y sus motores de rastreo recorrerán todos los archivos de tu web en busca de malware y código malicioso.

Recuperar un sitio WordPress hackeado

Recuperar una página web WordPress hackeada puede ser muy difícil, llevar mucho tiempo y requerir más conocimientos relativos a seguridad. Mi consejo es que lo encargues a un profesional del mantenimiento web.

Es muy habitual ver que muchos usuarios no hacen copias de seguridad periódicas de su WordPress y no se dan cuenta de la importancia que tienen hasta que es demasiado tarde. Los hackers suelen instalar puertas traseras y si estas puertas traseras no se limpian correctamente te volverán a hackear.

De todas formas aquí tienes una breve guía para usuarios avanzados por si quieres aventurarte a hacerlo por tu cuenta.

Conclusión

La mejor que puedes hacer para evitarte problemas es no descargar plugins ni plantillas de webs no oficiales, hazlo siempre desde el back end de WordPress o la página web de WordPress.org. Sigue las recomendaciones básicas de la guía y realiza copias de seguridad periódicas de tu sitio web. Espero que esta guía te haya servido tanto para mejorar la seguridad de tu página web con WordPress como para conocer que hacer en caso de desastre.

Fotografía destacada por Saksham Choudhary en Pexels

¿Te ha resultado útil este artículo? Compártelo

El Estudio de Andrés | Diseño Web Zaragoza