Cómo cuidar la seguridad de tu WordPress en unos pocos pasos

Según los datos de w3techs.com, uno de cada tres sitios web está basado en WordPress. No es de extrañar que los piratas informáticos y los hackers escaneen sitios web en busca de vulnerabilidades tanto en los plugins instalados como en el core del mismo. Una vulnerabilidad encontrada en un sitio web generalmente ocurre en otros basados en el mismo CMS, y esto permite todo espectro de ataques. En las siguientes secciones te mostraremos cómo impedirlos o prevenirlos y cómo defenderte del acceso no autorizado a los datos.

1.- Actualiza el core de WordPress siempre que sea posible

WordPress es una plataforma de código abierto, lo que significa que cualquiera puede añadir su código al repositorio y existe la posibilidad de que se publique en la próxima versión de CMS, esto brinda la capacidad de detectar rápidamente cualquier error. Cuantas más personas tengan acceso al código y logren encontrar el error, antes se podrá solucionar.

WordPress está escrito por personas, lo que significa que puede requerir «parches» (todos cometemos errores a veces :). Las actualizaciones frecuentes del CMS permiten evitar problemas relacionados con las puertas abiertas que se dejaron en versiones anteriores. Gracias a estas actualizaciones, las personas no autorizadas tienen menos tiempo para detectar nuevos errores y aprovechar las vulnerabilidades detectadas previamente que circulan por Internet.

2.- Haz copias de seguridad

Si el un pirata informático obtiene de alguna forma acceso a la base de datos, puede intentar integrar su código en nuestro sitio (generalmente, para publicidad) o eliminar la base de datos y chantajearnos para que paguemos un rescate para restaurarla.

Por supuesto, a ninguno de nosotros nos gustaría perder todas las publicaciones, fotos y comentarios. Afortunadamente, no tenemos que cumplir con los chantajes, será suficiente con restaurar la copia de seguridad, que se realiza ya que tener que excavar a través de líneas de código para encontrar el lugar donde se inyectó el código del anuncio también puede ser bastante molesto, es un proceso que lleva mucho tiempo y, como sabemos, el tiempo es dinero, por lo que es mejor prevenir que curar evitando que todo suceda en primer lugar.

3.- Instalar sólo plugins verificados

Como se mencionó anteriormente, el repositorio de WordPress está abierto. Significa que cualquier usuario puede solicitar añadir su plugin al repositorio general de WordPress.

Para reducir la probabilidad de secuestro de páginas o la ocurrencia de errores inesperados, usa siempre complementos probados y verificados. Qué significa eso?

Por ejemplo, el plugin Advanced Custom Fields: tiene más de un millón de instalaciones activas y se actualizó por última vez el 12/05/2020. La probabilidad de que el plugin contenga un fragmento de código que pueda causar errores críticos es, por lo tanto, mínima. Si el plugin tiene soporte permanente y ha sido probado en su versión de WordPress, puedes considerar probado.

4.- Iniciar sesión con admin/admin123 es una mala idea

Uno de los pasos en el proceso de instalación automática de WordPress es indicar el nombre de usuario y la contraseña del administrador, intenta elegir accesos que sean fáciles de recordar o asociar. Desafortunadamente, esta no es la mejor manera.

Tanto el inicio de sesión como la contraseña deben proporcionar una seguridad sólida para nuestro sitio. El nombre de usuario debe ser fácil de recordar, pero no es recomendable utilizar «administrador». A su vez, al establecer una contraseña, es mejor usar generadores como Enpass. Esta herramienta te permite generar y guardar una cadena compleja de caracteres. Dicha solución obstaculizará o evitará efectivamente que los piratas informáticos utilicen el método de fuerza bruta para descifrar tu contraseña.

5.- Limita los intentos de inicio de sesión

Hay muchos plugins en el repositorio de WordPress que limitan el número de inicios de sesión si se han hecho demasiados intentos en un momento dado. Un ejemplo de dicho plugin es Limit Login Attempts Reloaded. Si una persona no autorizada intenta adivinar la contraseña, el acceso a la cuenta se bloqueará temporalmente. Opcionalmente, puedes habilitar los intentos de registro o incluso enviar los fallidos a una dirección de correo electrónico.

6.- Autenticación de doble factor

Si queremos tener mayor seguridad con poco trabajo adicional, podríamos considerar implementar la autenticación de dos factores. Cuando la autenticación de doble factores está activa, la contraseña robada no será útil para el hacker, ya que requerirá la confirmación de inicio de sesión a través de SMS o en la aplicación. Duo Two-Factor Authentication ofrece dicho servicio. Para asegurar tu web, instala el plugin y luego sigue las instrucciones recomendadas durante la activación. También deberás instalar la aplicación desde Play Store o AppStore.

7.- Usar el enlace wp-admin como acceso al panel es buscar problemas

La mayoría de las personas que deseen acceder a tu sitio sin autorización intentarán adivinar el nombre de usuario y la contraseña en el formulario de inicio de sesión. ¿Por qué no hacer que sea más difícil para ellos al tener que adivinar el enlace que conduce a ella? La mejor manera es cambiar su dirección de inicio de sesión. Este enlace debe elegirse cuidadosamente (configurar / iniciar sesión, / admin / iniciar sesión no hará que sea difícil de adivinar).

Change wp-admin login es un ejemplo de plugin que facilita el cambio de dirección.

8.- Edita archivos de temas desde el dashboard es fácil, también para los demás

Cuando presentamos soluciones rápidas en la página, es más sencillo para nosotros ingresar al panel de control, pasar el cursor sobre la pestaña «Apariencia» y hacer clic en «Editor de temas». La mayoría de los usuarios ni siquiera se preguntan si esta opción es completamente segura. Pero, ¿qué pasa si una persona no autorizada tiene acceso al sitio? Desafortunadamente, el intruso tendrá acceso para editar el código del tema. La mejor opción en este caso es deshabilitar la capacidad de editar archivos en el panel. Para hacerlo, necesitamos añadir la siguiente línea al archivo wp-config.php.

define('DISALLOW_FILE_EDIT', TRUE);

9.- Prefijos de tabla de base de datos: el uso de wp_ puede permitir una inyección SQL más fácil

Cuando usamos una gran cantidad de plugins o temas personalizados con muchos lugares donde el usuario puede añadir datos (como comentarios u otros formularios), entramos en riesgo de tener una inyección SQL.

Este método implica añadir una consulta SQL modificada de tal manera que el intérprete realice las acciones dadas por el modificador. Con wp_ como prefijo de tablas, hacemos que sea más fácil para el atacante proceder con el brote. Es mucho más obvio añadir "DROP TABLE wp_options;" que  "DROP TABLE fjmnv_options;".

10.- Actualiza los plugins siempre que puedas

Este punto es muy similar al primero. Durante el proceso de desarrollo, muchos plugins son vulnerables a los ataques o tienen errores que aparecen en determinadas circunstancias. Las actualizaciones regulares y sistemáticas corrigen algunas vulnerabilidades, ten en cuenta también que NO DEBES editar códigos de plugins nunca. Todas las modificaciones de las funcionalidades o su extensión deben mantenerse en archivos separados o en los archivos de nuestro tema, ya que cada actualización sobrescribirá los cambios realizados.

11.- Comprueba si no revelas la versión WP a todos.

La forma más fácil de verificar esto es ver la fuente de la página y buscar la versión actual de WordPress. A menudo se añade al cargar estilos/scripts o se incluye en el encabezado. Revelar la versión WP permite verificar fácilmente qué parches aún no se han implementado en la página.

Para ocultar la versión del encabezado, recomendamos añadir el siguiente código al archivo functions.php de nuestro tema:

function remove_wp_ver() {
return ‘’;
}
add_filter(‘the_generator’,’remove_wp_ver’);

12.- Bloquear RestAPI: comparte solo puntos finales

WordPress desde la versión 4.7.0 ofrece la posibilidad de usar su API REST. Significa que al usar los puntos finales apropiados, podemos añadir / cambiar datos en nuestro sitio web. Esto a su vez nos permite conectar nuestro WordPress a varias API externas.

Muchos usuarios no saben que la API REST se ha habilitado en su sitio desde que se implementó. Un ejemplo de un punto final (al que preferiríamos no desear que terceros tengan acceso) es «/ wp-json / wp / v2 / users /».Esto te permite obtener una lista de todos los usuarios junto con sus avatares y publicaciones. La mejor forma de protección, en este caso, será la desactivación completa de la API REST si no nos conectamos con servicios externos. Si necesita compartir datos «fuera», te recomiendo escribir sus puntos finales y cuidar de su protección adecuada.

13.- Certificado SSL

Muchas personas se preguntan por qué algunos de los sitios web tienen un «candado» al lado de la barra de direcciones y algunos tienen la inscripción «No es seguro». ¿Realmente tiene tal impacto en la seguridad? La respuesta es sí.

Este «candado» significa que el certificado SSL (Secure Socket Layer) está instalado en la página. Explicado de manera sencilla, te permite saber que la conexión entre el sitio y el usuario es segura. Este certificado es responsable de encriptar la información proporcionada, lo que significa que la interceptación de datos «sobre la marcha» por parte de terceros es imposible. Cuando el sitio web que está visitando es una tienda online, no deseas que la información tu su tarjeta de crédito «deambule» por Internet. Por esta razón, siempre debemos prestar atención a si un sitio determinado está protegido por un certificado y, definitivamente, evitar visitar sitios no seguros, sobre todo utilizando las redes inalámbricas públicas.

La seguridad básica de WordPress implica muchos pasos. El enfoque de cada sitio requiere una evaluación individual de la situación. Al utilizar los ejemplos anteriores, definitivamente evitarás muchas sorpresas desagradables en tu blog o en el comercio electrónico. 🙂

Y si necesitas ayuda en esta área, contáctanos. Te ayudaremos a proteger su sitio web de manera efectiva.

Deja un comentario