10 consejos sobre seguridad y WordPress

El término seguridad, en informática, se ha ido haciendo cada vez más extenso y común en los últimos años, pasando de ser tema de conversación entre los administradores de sistemas a tema de interés entre editores de contenido, blogueros, CM´s o gestores de comercio electrónico.

Debemos entender seguridad como: el conjunto de métodos, técnicas y herramientas a utilizar o implementar para proteger de la mejor manera posible nuestro proyecto en internet; incluyendo aspectos externos (software, comunicaciones, …) o internos (datos, contraseñas, …) a nuestro proyecto.

Con esta premisa, recojo aquí 10 consejos sobre seguridad y entornos WordPress que he ido recopilando en los últimos meses y que no pretende ser una guía de obligado cumplimiento, sino una lista “casual” de buenas prácticas que podamos aplicar, o no, a nuestros sitios web.

Y antes de empezar, como no, otro consejo: mantente informado, hay que estar al día todo lo posible en cuanto a seguridad.

1.- Que no parezca un WordPress

Aunque suene fácil, es lo más difícil, y requiere de varias técnicas. La idea principal es aparentar que nuestro site no es un CMS o no es un CMS basado en WordPress, esto “limitará” el tipo de ataques que vayamos a recibir.

Para ello podemos:

  • Eliminar rastros de archivos relacionados con la instalación de WordPress: readme, license, … ; de las cabeceras y del RPC , incluso de los feed RSS.
  • Podemos incluso crear pantallas fake de otros CMS como Joomla o Drupal.
  • Instalar WordPress sobre un subdominio y publicar sobre el dominio principal, controlando el acceso a las carpetas de administración del subdominio mediante el .htaccess
  • Eliminar todo lo que huela a directorio wp-: mover los directorios wp-content, plugins o añadir nuestro Theme desde otro directorio (register_theme_directory()).

2.- Colocar una CDN por delante

Nuestro sitio mejorará en dos aspectos con una CDN:

  • Previene ante ataques de fuerza bruta.
  • Enmascara la dirección real de nuestra máquina.

Por contra, será más complidado protegernos del hotlinking.

3.- Usuarios de WordPress seguros

Sólo es necesario un administrador para nuestro sitio, asegurado por IP si es posible, y el resto de autores sólo con los privilegios para su día a día. Un plugin como WPFront User Role Editor nos puede facilitar esta tarea de administración de permisos para perfiles.

No utilizar el usuario administrador que hemos utilizado durante la instalación, que eliminaremos tras ese proceso.

4.- Hosting de confianza

Buscaremos un proveedor de hosting que nos de confianza, con buena reputación y preocupado por la seguridad de sus clientes. No basta sólo con hablar de Firewall en su argumentario de venta, sino de cómo se involucra activamente en la seguridad de los proyectos alojados.

Elegiremos un servidor lo más aislado posible, no me refiero sólo a servicios de servidor dedicado, sino que nuestra instancia de servidor, normalmente cloud, sea lo más aislado posible de otros. A veces no nos atacan a nosotros, pero nos afecta lo que pasa a nuestro alrededor (hosting mal compartido).

El proveedor de hosting debe dar soporte y actualización al software base de tu servidor: apache, nginx, mysql, o PHP; así como los parches y vulnerabilidades de seguridad del sistema operativo en el menor tiempo posible. Desconfía de proveedores con versiones anticuadas de software.

5.- Contraseñas robustas

Utilizar contraseñas y nombres de usuarios complejos, tanto en base de datos como en el propio WordPress, incluso autenticación en dos pasos si es posible.

Tampoco olvidarse de cambiar el prefijo a las base de datos durante la instalación y hacer uso de las Security Keys (encriptación para las cookies) si vamos a usar entornos u ordenadores públicos para acceder a nuestro WordPress.

6.- No permitir subida de archivos o código por parte de los usuarios

Controlar qué archivos pueden ser subidos por los usuarios de WordPress a la carpeta wp-content/uploads/.

También es aconsejable que los sistemas de publicación de comentarios estén delegados en plataformas de terceros, por ejemplo Facebook o Disqus (menos quebraderos de cabeza).

7.- Utilizar SSL

Siempre que sea posible, utilizar y forzar SSL como protocolo de acceso a nuestros sitio, no solo para la administración, también para el acceso de los lectores.

Iniciativas como Let´s encrypt ofrecen certificados SSL de manera gratuita y nos permiten activar HTTP/2 en nuestro sitio (sólo para aquellos proveedores de hosting que lo ofrecen).

8.- Backup

Periódicos y con copia en una plataforma externa por seguridad adicional (a nadie le gustan las sorpresas con su backup). Tu proveedor deber dar soporte al sistema de backup estándar.

Siempre aconsejo una plataforma o sistema externo de backup, no por desconfianza del proveedor de hosting, sino por acceso más rápido al mismo (nadie conoce su proyecto mejor que tú mismo).

9.- Código y core actualizado

El código de nuestro proyecto, además de limpio y de fácil mantenimiento, debe ser seguro y confiable.

Tanto el core de nuestro WordPress, como los plugins y temas usados, deben actualizarse siempre a las últimas versiones, no solo por rendimiento, sino porque incorporarán todas las actualizaciones sobre seguridad.

Usar sólo sitios de confianza para descargar contenidos de terceros y verificar siempre que es compatible con la versión WordPress instalada.

10.- Un extra, siempre ayuda

Nunca está de más añadir una barrera extra al sistema, en este caso al propio WordPress, hablando de seguridad, que aporta y no entra en conflicto con todo lo demás. Un ejemplo de este tipo de herramientas es Wordfence Security, una herramienta gratuita y con una funcionalidad enorme.

En seguridad, como con el frío, mejor ponerse capas, y si son de calidad, todavía mejor.

Valora este artículo para mejorar la calidad del blog ...

PobreRegularEstá bienMuy buenoExcelente (7 votos, promedio: 3,86 de 5)
Loading...

Autor: fpuente

Informático de profesión / Formador frustrado / Beginner de comer y beber. Apasionado de la tecnología, llevo casi 20 años desarrollando proyectos en Internet en casi todos los sectores, desde hace 8 en medios de comunicación deportiva, y de todos he sacado algo bueno. Puedes seguirme en @fpuenteonline

Comparte esta entrada en
468 ad
  • Estos consejos no tienen desperdicio, gracias por compartir

    • Fernando Puente

      Gracias. Iremos actualizando

  • Pingback: Enlace Permanente #08: ¿da miedo WordPress? - Blog | ciudadanoB()

  • Me gusta la idea de la IP segura. Pero ¿Cómo funciona? La gran mayoría de los mortales tenemos IPs dinámicas, ¿se pueden asignar rangos? ¿Alguién lo ha probado?

    De todas formas, yo creo que con un buen servidor, la red CDN que oculta de la dirección real y el limitador de intentos va que chuta.

    Claro que todo dependerá de que haya en nuestro wordpress…

    • Fernando Puente

      Si utilizar IP dinámica no te recomiendo ir dando de alta, aunque sean rangos, las IP de acceso.

      El limitador de intentos, unido al bloqueo y un buen proveedor de hosting, es un sistema muy seguro; pero una contraseña robusta lo es todavía más. Al final todo pasa por combinar técnicas o “capas”.

      La CDN no debe enmascarar la dirección real de acceso, aunque normalmente lo hacen. Es importante obtener la IP real del usuario para todas las técnicas relacionadas con la seguridad.
      En el caso de Cloudflare, como ejemplo de CDN de tipo DNS, dispones de un plugin para WordPress con el que obtienes la dirección IP real del usuario, y no la intermedia.

      Saludos

  • Pingback: Enlace Permanente #08: ¿da miedo WordPress? - Juan Hernando – ciudadanoB()

  • Pingback: Como asegurar una tienda online WooCommerce()

Pin It on Pinterest