Oferta SiteGround Black Friday

15 maneras de asegurar WordPress

26-12-2016 / Antivirus, Apache, Avanzado, Seguridad, SQL, Virus, XSS / 7 minutos de lectura
Compartir en Pocket Compartir en LinkedIn Compartir en WhatsApp Compartir en Telegram

Para empezar bien el año nada mejor que conocer varias maneras de mantener bien seguro nuestro WordPress. Para ello he realizado una selección de plugins que ayudarán a tener un WordPress seguro.

Antes de entrar en detalles, debes tener en cuenta siempre estas recomendaciones básicas:

  1. Mantener WordPress actualizado a la última versión, única garantía de control de vulnerabilidades conocidas.
  2. Instalar solamente plugins seguros, a ser posible desde el repositorio oficial.
  3. Instalar solamente temas seguros, a ser posible desde el repositorio oficial.
  4. Revisar la sección de seguridad de Ayuda WordPress para comprobar que has realizado todas las acciones de seguridad necesarias.
  5. Suscribirte al feed de Ayuda WordPress para estar informado de las alertas de seguridad.
Hecho esto …  ¡vamos a ello!

1. Bulletproof security

bps

Este plugin ofrece un entorno de seguridad muy completo, protegiendo tu WordPress de inyecciones de código XSS, RFI, CSRF, Base64, así como de intenteos de hacheo por inyección SQL.

También hace comprobaciones de seguridad del prefijo de la base de datos, seguridad del fichero wp-config.php así como de las carpetas del núcleo de WordPress y ficheros .htaccess.

Es de los más completos, incluyendo además un editor de archivos de sistema.

2. WP Security scan

Antes de empezar realiza un análisis de tu instalación y te ofrece sugerencias para cambiar lo siguiente:

  1. Contraseñas
  2. Persmisos de archivos y carpetas
  3. Seguridad de la base de datos
  4. Ocultar la versión de WordPress
  5. Protección de la administración de WordPress
  6. Quitar información del generador WordPress en el código de tu tema y de los ficheros «core»

Bastante completo, aunque no tanto como el anterior.

3. 6Scan Security

Es una de mis más recientes descubrimientos y me ha sorprendido gratamente.

6Scan hace un escaneo de tu WordPress para tratar de descubrir vulnerabilidades de seguridad – conocidas o no – y tratar de solucionarlas de manera automática.

Sus virtudes y funcionalidades son las siguientes:

  • Patrol: El escaner Patrol de 6Scan imita las acciones de un hacker tratando de acceder e infectar tu sitio. Cada página, formulario y script de tu sitio es revised para detectar puntos débiles que puedan, potencialmente, convertirse en agujeros de seguridad. Patrol encuentra y te protege de:
    • Inyecciones SQL
    • Cross-Site Scripting (XSS)
    • Redirecciones de directorios
    • Insercciones de ficheros remotos
    • Y mucho más.
  • Bodyguard: Este módulo actúa en tu servitor para tratar de solucionar todas las vulnerabilidades de seguridad encontradas por Patrol.
  • Actualizaciones constantes: Algo vital en un software de seguridad.
  • Instala y olvida: una vez instalas 6Scan Security no hay que hacer más, el se ocupa de mantener el sitio protegido.
  • Invisible: 6Scan Security no afecta al rendimiento del sitio ni interfiere con su funcionamiento normal.

4. WP Secure

Uno de los plugins más veteranos, pero no por ello menos eficiente. Realiza 23 comprobaciones de seguridad en WordPress, y solo tienes 2 ventanas, una primera que te informa de las acciones de seguridad a realizar y otra que procesa todas las acciones para asegurar tu WordPress a tope.

El diseño de la administración del plugin deja mucho que desear pero funcionar funciona perfecto.

5. Ultimate security checker

Otro plugin veterano que hace bien lo que promete. Realiza comprobaciones de ficheros del núcleo de WordPress, así como de distintas vulnerabilidades conocidas.

Con una interfaz espartana hace bien su trabajo. Como «plus», ofrece en la barra de admin un identificador de los puntos de seguridad de tu sitio, a modo de recordatorio de que puedes hacer algún arreglo para mejorar la seguridad.

Eso si, no ofrece interfaz para solucionar los errores sino enlaces para saber como hacerlo manualmente, quizás su mayor pega.

6. htaccess secure files

Este plugin funciona de manera especializada sobre los ficheros multimedia de WordPress, permitiendo que solo usuarios con determinado perfil, capacidades o IP puedan acceder a los archivos que tu definas.

Para ello crea un fichero .htaccess en la carpeta de cada archivo protegido, que restringe el mismo a los usuarios o roles que hayas definido anteriormente.

Lo mejor es que puedes definir reglas generales en los ajustes del plugin o en cada fichero, al editar cada archivo de la Librería Multimedia de WordPress.

Especializado pero muy completo.

7. WP plugin security check

Este es uno de mis imprescindibles, pues comprueba la parte más débil de nuestra instalación: los plugins de terceros.

Y es que el mayor agujero negro para cualquier instalación de WordPress son los plugins, y este sistema en concreto analiza cada plugin instalado para comprobar si contiene agujeros de seguridad o malas prácticas de programación que puedan comprometer tu instalación de WordPress.

8. Better WP Security

Muy similar a WP Secure, realiza las comprobaciones habituales para asegurar la instalación de WordPress. Una de las funcionalidades que más me gustan es el límite de intentos de acceso, bloqueando la IP del usuario «olvidadizo» o atacante.

Muy completo y actualizado, funcionando también en instalaciones Multisitio.

9. Secure WordPress

Quizás uno de los más utilizados, por la gran cantidad de comprobaciones que hace y por su integración. Es muy completo, como una suite de seguridad que mantiene tu WordPress seguro.

Además de todos los escaneos que realizan algunos de los anteriores también revisa queries que pueden comprometer tu WordPress.

10. WP login security

Si eres muy estricto con el acceso a la administración de tu WordPress WP login security te va a encantar.

Puedes – o no – crear una lista blanca de IPs que pueden accede a tu sitio y, en cada acceso, el sistema comprueba si la IP del usuario que trata de acceder está en esa lista blanca y, en caso contrario, manda un email al administrador del intento de acceso, bloqueándolo entretanto.

Si no has creado una lista blanca el sistema pregunta al Admin si permite el acceso, y recuerda la IP del usuario permitido para próximos accesos.

11. AskApache Password protect

Para locos por la seguridad, este plugin actúa como un muro de contención para cualquier tipo de ataque a tu WordPress pero sin tocar WordPress o su base de datos.

En su lugar usa la autentificación HTTP básica o, a tu elección, la autentificación HTTP Digest, que eliges en los ajustes del plugin.

Lo mejor de AskApache Password Protect es que actúa antes de llegar a tu WordPress, por lo que mantiene libres de accesos indeseados, incluso de spam, tu WordPress.

12. WangGuard

Un viejo conocido del blog, este plugin creado por Jose Conti elimina los indeseables Splogs de nuestra instalación de WordPress multisitio.

En la última versión ha mejorado enormemente su motor de detección, haciendo de este plugin un imprescindible en cualquier BuddyPress y WordPress multisitio, y tan completo que la lista de funcionalidades – incluidas estadísticas – es prácticamente eterna.

13. Private WordPress accesss control

Si quieres controlar el acceso a tu WordPress, o a partes del mismo, este es tu plugin. Desde su pantalla de ajustes puedes controlar que perfiles accederán a categorías, páginas, entradas, tags o incluso feeds.

Muy completo y personalizable.

14. Login lock

Este es otro de mis imprescindibles. Y es que si quieres que WordPress gestione los accesos de administración de manera profesional en este plugin encuentras todo lo necesario.

Puedes controlar los accesos por …

  • Límite de tiempo entre intentos de acceso
  • Cantidad de intentos de acceso
  • Obligar al cambio de contraseña tras un tiempo determinado
  • Definir un mínimo de caracteres para las contraseñas
  • Exigir contraseñas seguras (con números, letras y caracteres adicionales)
  • Evitar contraseñas repetidas
  • Forzar el «logout» tras un tiempo definido

Muy completo y fácilmente personalizable en la pantalla de ajustes del plugin. Como te digo, imprescindible si tienes un sitio con muchos usuarios registrados o eres exigente con la seguridad.

15. Antivirus

Ninguna guía de seguridad estaría completa sin un buen antivirus, y WordPress también tiene plugin de antivirus, y bastante completo.

Antivirus realiza comprobaciones de manera habitual, y por supuesto nada más instalarse, en los archivos de tu tema, plugins y base de datos, para encontrar posibles inyecciones maliciosas y limpiarlas.

Si lo deseas, también te envía email con los resultados de la comprobación diaria, y hasta te ofrece alertas antivirus en la barra de Admin.

Bueno, y hasta aquí mis recomendaciones. También te dejo con una lista secciones de artículos de seguridad que he publicado anteriormente, que completarán tu guía de seguridad WordPress:

Y si se te ocurre algo más ahí tienes los comentarios para ampliar la guía.

¿De cuánta utilidad te ha parecido este contenido?

¡Haz clic en los emoticonos para valorarlo!

Promedio de puntuación 4.7 / 5. Total de votos: 11

Hasta ahora ¡no hay votos!. Sé el primero en valorar este contenido.

Ya que has encontrado útil este contenido...

¡Sígueme en las redes sociales!

¡Siento que este contenido no te haya sido útil!

¡Ayúdame a mejorar este contenido!

Por favor, dime, ¿cómo puedo mejorarlo?

Compartir en Pocket Compartir en LinkedIn Compartir en WhatsApp Compartir en Telegram

¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!

AVISO: Esta publicación es de hace 3 años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado. ¡Ah! ¿te funciona? pues entonces no he dicho nada :)

Sobre el autor

Apasionado de WordPress, profesor, consultor y ponente. Maquero cansino, padre de tres hijos y dos perritas, una Jack Russell y una Mastín, vasco de nacimiento, español de corazón y ciudadano de donde me quieran. Mi último libro es WordPress - Web gratis para todos. Mi blog personal es Navegando con red, donde hace años ofrezco mis visiones acerca de la Web. Sígueme en Twitter

45 comentarios en “15 maneras de asegurar WordPress”

    1. Fernando

      Ya recomiendo alguno pero me extiendo:

      – De los generalistas el más completo es Bulletproof
      – Los otros son todos geniales, los especializados, y me parece especialmente bueno Login lock.
      – Para usos especiales, WangGuard y AskApache

      Responder
  3. Vieyra

    Yo tengo una duda. He instalado wp-plugin-security-check más que nada por el asunto del escaneo de plugins, que es lo que más me preocupa y no porque tenga muchos.

    Al hacer el escaneo me salen varios mensajes en los que dice «$_SERVER[‘REQUEST_URI’] detected» ¿Alguien me puede decir a qué se refiere?También han aparecido mensajes en el plugin de Akismet y en otros plugins que tengo desactivados. Respecto a lo de Akismet, he mirado la página del autor y comenta que es un «falso positivo», pero lo de los otros plugins me inquieta. Todos ellos están descargados desde wordpress.org y, se supone, son seguros ¿no?Aparte, supongo que los plugins que están desactivados no deberían ser un problema de seguridad pese a que aparezcan en las alarmas. ¿Me equivoco?

    Un saludo, feliz 2012 y a seguir así 🙂

    Responder
  4. Juan

    Yo he seguido el consejo de Fernando y he instalado BulletProof, esta bastante bien, aunque no se muy bien como he de configurarlo, simplemente lo que he hecho es poner su archivo .htaccess en wp-admin y la raiz tal y como recomienda y después he hecho que WP-SuperCache vuelva a poner sus directivas en el fichero para que sirva correctamente las páginas cacheadas. ¿Hay algo más que configurar o hacer?

    Estuve mirando también 6scan pero vi que era de pago, pero tiene buena pinta, el resto no los he mirado en detalle.

    Saludos y gracias por los consejos.

    Responder
  5. Jdyb04jdyb

    ¿Alguien me puede decir si wordpress tiene por defecto un htaccess en wp-admin?

    He buscado en la descarga original pero no hay ni en wp-admin ni en la raiz

    En la raiz si que tiene que tener por defecto ¿no?

    Saludos

    Responder
  6. Txarlie

    El Login lock me ha hecho un hijo de madera: resulta que le he pedido que me asigne una políticas determinadas (contraseña fuerte, que no se repita, etc). Por lo tanto, me ha hecho un log out (eso es normal), pero luego ya no hay manera de introducir una clave que le resulta admisible: ni por número de caracteres, ni con mayúsculas, letras… al final he tenido que deshabilitar el plugin vía FTP y acceder… 
    Y me ha dejado la base de datos llena de morralla que no sé ni borrar. Cuidado. 

    Responder
  7. Txarlie

    El Login lock me ha hecho un hijo de madera: resulta que le he pedido que me asigne una políticas determinadas (contraseña fuerte, que no se repita, etc). Por lo tanto, me ha hecho un log out (eso es normal), pero luego ya no hay manera de introducir una clave que le resulta admisible: ni por número de caracteres, ni con mayúsculas, letras… al final he tenido que deshabilitar el plugin vía FTP y acceder… 
    Y me ha dejado la base de datos llena de morralla que no sé ni borrar. Cuidado. 

    Responder
  8. Asdailen

     mmmmmmm hay algun manual en espanos para nosotros los duraznos?, esto de poner seguridad a este nivel es importante pero no quoero mandarme una embarrada como se dice en Chile jajajajaja, no quiero perder mis trabajos del portal

    Responder
  11. Marta

    @19cc7e5ad03ad41253bc5746b8a439cd:disqus : Yo encontré una traducción de better-wp-security en abiertoylibre.es, del resto ni idea.
    Lo que no me gusta es que todos los que he probado modifican muchos archivos de WP.

    Responder
  12. Marcelo

    No recomiendo el WP login security, me ha dejado 2 días sin poder ingresar a mi panel wordpress. Solo el soporte técnico de mi hosting pudo deshabilitarlo y darme una nueva contraseña para poder entrar.

    Responder
  13. Caroli

    Hola me podrian ayudar? estoy modificando mis paginas y ahora no se despliega el check dónde está la luz. Le doy a check y no se despliega nada, asi que no puedo ver la meta descripcion, palabra clave ni nada!

    SOS!!!!
    Gracias!!!!!!!

    Responder
  15. vieradel

    Fernando hace poco vi aqui en tu sitio como desactivar la opcion «Editar» en la pestaña «apariencias» tenes a mano el enlace?

    Responder
      1. vieradel

        Esta es una buena opción para des-habilitar la edición te themas y plugins :
        define(‘DISALLOW_FILE_EDIT’, true);

        en wp-config.php

        Responder
  16. Evita la Crisis

    Hola

    Pero es bueno tener muchos de estos plugins activados a la vez?? Yo tengo el Bullet proof, el login lock el ask apache el wanguard, el Wordfence Security, el Wordpress Firewall 2, y el WP Security Scan. Deberia desinstalar alguno verdad?? Que me recomendais??

    Salu2

    Responder
      1. Fernando

        El login lock hace lo mismo que una utilidad del Wordfence. También el file monitor plus pero se complementa bien con Wordfence. File monitor es mejor avisando y Wordfence corrigiendo archivos modificados, yo uso ambos.

        Responder
    2. Fernando

      Varios de los que comentas duplican funcionalidades así que no creo que sea necesario tener ambos. Yo uso mayoritariamente Wordfence pero el security scan tiene alguna función adicional. El tema principal es no activar utilidades duplicadas.

      Responder
      1. Evita la Crisis

        Hola

        Muchas gracias por tus respuestas Fernando. Entonces me recomiendas quitar el security scan?? Los demas dejo todos?? Es que tampoco quiero como dices duplicar todo y ralentizar o poder crear conflictos entre la web y los plugins.

        Salu2

        Responder
  17. Marito de Madrid

    Hola

    Gracias por vuestros consejos!

    Soy principiante y me ha surgido la duda de cuándo se debe hacer la instalación del plugin de seguridad que elija.

    Es decir, si lo tengo que hacer ni bien instalo WP o cuando ya el sitio está terminado.

    Muchas gracias de antemano.

    Responder
  19. gracieladiter

    Hola, soy asidua lectora de este blog porque me ayuda muchísimo a resolver muchas dudas que se me plantean, a si que gracias por tu blog.

    Quería comentar una cosa que me ha pasado y es a raíz del punto donde pones: (aunque se que lleva su tiempo esta entrada)

    «Instalar solamente temas seguros, a ser posible desde el repositorio oficial.»

    A ver, no soy diseñadora, eso para empezar, por lo que hacer un tema a medida o a partir de uno del repositorio me es un mundo, con lo que casi siempre tiro del portal Themeforest para buscar temas que se adapten a lo que necesito, pero claro, como me ha pasado recientemente, compré un tema, aparentemente con buena popularidad, todo bien y cuando te gastas el dinero, lo instalas y te das cuenta que es inseguro. Es más una reflexión de ¿y qué haces? vas en plan lotería a ver si te toca o no te toca?

    Saludos.

    Responder
  20. Valeriano

    Fernando, no te parezca mal pero en mi opinión deberías actualizar varias páginas… En esta en concreto, recomiendas unos plugins que en buen número o no existen o están «fuera de servicio» porque no se actualizan desde hace años. Es que si lo dejas así, puedes confundir a usuarios que no tengan experiencia en WP…
    Saludos

    Responder
    1. Fernando

      Claro que no me parece mal, pero ya me cuesta mantener el ritmo de publicación como para revisar páginas antiguas que, si no me avisáis, muchas veces no me entero de que tal o cual plugin ha dejado de estar disponible, aunque lo intento.

      Gracias por avisar 😉

      Responder
  21. YOUR GOD

    disculpa una pregunta, no encuentro informacion
    de algo que me tiene frustado,estoy construyendo mi sitio y queria
    utilisar userpro plugin, pero el problema es que yo como administrador
    puedo entrar al dashboard desde el login de usuarios, y se supone que yo
    por ithemes security e cambiado la url del admin login, es normal que
    que yo pueda entrar como admin por el frente de mi pagina??? queda
    obsoleta la opcion de hide admin login??? que me puedes recomendar para
    mi blog? usare WPDiscuz y no se si sea buena idea porque no se como este
    el spam o si puedo protegerme con algun plugin?? mi idea esra mantener
    la informacion de mis usuarios conmigo y no compartirla con terceros
    como disqus, que me recomiendas???

    GRACIAS

    Responder

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Información base sobre privacidad:
- Responsable: Fernando Tellado ([email protected])
- Fin del tratamiento: Moderación de comentarios para evitar spam
- Legitimación: Tu consentimiento
- Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal
- Derechos: Acceso, rectificación, portabilidad, olvido

 

Scroll al inicio