WordPress es el gestor de contenido web por excelencia, día tras día el número de sites creados con este CMS aumenta, y no es de extrañar, su facilidad de uso y la posibilidad de hacer casi cualquier cosa a través de sencillos plugins, lo hacen perfecto para poner en marcha un portal online con una inversión reducida y una imagen muy profesional .
Hablamos de millones de sites online creados con esta plataforma por su profesionalidad y posibilidades infinitas por lo que, al igual que es atractiva para empresarios, emprendedores, diseñadores, etc., también lo es para todos aquellos que buscan hacer daño en el mundo virtual.
Es mucho más fácil localizar “puertas traseras” o vulnerabilidades en plataformas usadas por miles de usuarios que trabajar de forma individual webs creadas a medida, de la primera forma te aseguras poder hackear múltiples sites en un tiempo muy reducido.
Pero que no cunda el pánico, al igual que los hackers conocen los puntos frágiles de un site para acceder y campar a sus anchas, nosotros sabemos cómo evitar dichos accesos y os vamos a contar los trucos más usados por nuestros diseñadores web además de las acciones necesarias que deberéis realizar a vuestro WordPress para mantenerlo seguro con el paso del tiempo.
Trucos para evitar hackeos en tu web WordPress
Tabla de contenidos
ToggleDurante la fase de diseño:
La fase de diseño de la web es uno de los momentos más decisivos. Hay aspectos a tener en cuenta de los que dependerá que el site sea más o menos seguro y todo se resume en los siguientes 10 puntos:
#1. Base de datos
Normalmente se crean con el prefijo wp_ y esto, por supuesto, es algo que todo hacker conoce por lo que, a partir de ahora, cambia el prefijo y personalízalo de forma distinta en cada uno de tus proyectos sino tendrán demasiada facilidad de localizar las tablas de tu base de datos.
#2. Nombre usuario
Al igual que el anterior punto, existen una serie de nombres que se suelen usar y debéis por tanto evitarlos, se trata de los siguientes: admin, Admin, root, etc. Serán los primeros nombres que pongan los hackers a la hora de probar el acceso a una web.
#3. Contraseña
WordPress te facilita esta tarea generando passwords muy seguras de forma automática. Úsalo, aprovéchate de ello y por supuesto nunca uses contraseñas del tipo: 12345678, 00000000, etc.
#4. Autenticación en 2 pasos
Esta opción incrementará la seguridad de la web ya que implica la realización de un paso algo más complicado, por ejemplo, el envío de un código a un móvil que forme parte de su base de datos.
Es muy útil y, además, muy fácil de activar a través de plugins. Pero mucho cuidado, utiliza siempre plugins fiables de desarrolladores certificados, evita abrir tú mismo la puerta a posibles intrusos con plugins que no sean de fiar…
#5. Versión WordPress
Utiliza siempre la última versión en tu instalación así como mantén tus sitios web actualizados (incluido en la fase de mantenimiento). WordPress trabaja continuamente para evitar verse afectado por este tipo de problemas e incrementa la seguridad de su plataforma con cada actualización.
#6. Plugins
Utiliza siempre plugins de sitios verificados y de confianza, que además sean compatibles con tu versión de Wp. Por otro lado, elimina aquellos que no vayas a utilizar, de este modo además, reducirás el peso de la web y mejorarás su rendimiento.
#7. wp-config.php
Este archivo es la moneda de oro de cualquier wordpress y es que incluye todos los datos de acceso a la base de datos. Pero, ¿qué puedes hacer para protegerlo? Cualquiera de las siguientes acciones:
-
- Moverlo a la carpeta superior del servidor
- Cambiar los permisos a 444 para evitar que cualquier usuario pueda reescribirlo
- Incluir la siguiente línea en el htaccess que evitará accesos no deseados:
<Files wp-config.php>
order allow,deny
deny from all
</Files>
#8. Wp-admin con password
Desde el c-panel o plesk e incluyendo varias configuraciones en el htaccess se consigue que, antes de aparecer el típico acceso de un wordpress aparezca otra ventana solicitando primero dicha contraseña que hemos incluido en nuestro servidor. Es una forma más técnica y compleja de llevar a cabo el punto 4 del que hemos hablado anteriormente.
#9. Plugins Seguridad
Personalmente, tras haber sufrido ataques en varias webs que tenían instalados plugins de seguridad como el famoso Wordfence, no soy muy partidaria de dejar la suerte en manos de alguien o algo externo. En cualquier caso, si hemos realizado todas las acciones anteriores, podemos instalar algúno que nos informe de si algún archivo ha sido modificado, de este modo podemos detectar un ataque a tiempo, cargar una copia de seguridad y solucionar el problema de la forma más fácil y rápida posible.
No voy a recomendar ningún plugin en concreto pero próximamente prepararemos un listado de los que debes evitar a toda costa si no quieres sufrir un ataque con mayor facilidad. Suscríbete para estar al tanto de todas nuestras actualizaciones.
#10. htaccess
Este archivo es uno de los más importantes por lo que podemos protegerlo de forma muy sencilla incluyendo en el mismo la siguiente línea:
<files .htaccess>
order allow,deny
deny from all
</files>
Además, en él se pueden incluir diferentes directivas que impidan el acceso a la web desde países o IP’s que forman parte de una base de datos de sitios maliciosos.
Durante la fase de mantenimiento:
Las acciones necesarias para proteger tu web no terminan en la fase de desarrollo sino suponen un trabajo continuo y conocimientos avanzados de desarrollo web
#1. Copias de Seguridad
Una vez tengas tu web en el aire deberás programar una tarea que genere copias de seguridad cada cierto tiempo. El periodo dependerá de las veces que actualices tu web, por ejemplo, si se trata de una web conectada a una base de datos de productos o en la que se realicen pedidos, necesitarás una copia diaria que te asegure disponer de todos los datos lo más recientes posibles.
#2. Actualizaciones
Todos los aspectos actualizables de los que hemos hablado antes, no deben estar al día sólamente la fase de desarrollo e instalación, sino que debe ser un trabajo de mantenimiento continuo.
Aconsejamos hacer una copia de seguridad previa ya que se pueden producir incompatibilidades y que la web no se vea correctamente. Lo mejor es contar con expertos de wordpress que se encarguen de su mantenimiento anualmente.
#3. Search Console
Conectar tu web a la Search Console de Google (la herramienta para webmasters del buscador) no sirve sólo para trabajar el SEO de tu web sino que te servirá para estar al tanto de todo aquello anómalo que ocurra.
Esta herramienta es capaz de localizar sitios comprometidos y que además te avisará a tu correo si tienes los avisos activados (muy recomendable). Además te servirá también para localizar archivos infectados y de comprobar si se encuentran limpios, tras realizar las acciones requeridas en caso de verse afectados.
#4. Comentarios con captcha
Localizar spam en los comentarios es la primera advertencia de que nuestro sitio está en el punto de mira de los hackers y de que es susceptible de sufrir un ataque de fuerza bruta.
Para evitarlo lo mejor es incluir un sistema que nos asegure que el comentario está siendo incluido por un humano y no por un robot como un captcha, y configurar el wp de modo que requiera ser aprobado en la sección de ajustes del escritorio.
Puedes aprender a instalar el invisible reCAPTCHA de Google en este post.
En definitiva todo se resume a dificultar el acceso y a mantener el backoffice de tu web lo más actualizado posible así que, todas las vulnerabilidades encontradas por los hackers en los sites web atacados, se vayan solucionando gracias a las nuevas versiones.