Las 5 medidas de seguridad esenciales de WordPress que debe tomar (y cómo implementarlas)

Ningún software es 100% seguro y WordPress no es una excepción a esa regla. La plataforma , que alimenta casi una cuarta parte de todos los sitios web  en todo el mundo, es naturalmente un objetivo irresistible para los piratas informáticos y ha sido objeto de muchos ataques a lo largo de los años.

Las personas que recuerdan los primeros tropiezos de seguridad, como las diversas vulnerabilidades graves descubiertas en 2009, pueden haber descartado hace mucho tiempo que la plataforma es intrínsecamente insegura; esto sería incorrecto.

Por cada exploit o vulnerabilidad que ha causado problemas, ha habido docenas, si no cientos, detectadas a tiempo gracias a una combinación de informes de usuarios, el equipo de seguridad dedicado de WordPress y los esfuerzos de desarrolladores independientes.

En este artículo, cubriremos cinco medidas de seguridad esenciales que debe dominar para mantener su sitio seguro y una variedad de prácticas soluciones de complementos para ayudarlo a hacerlo.

Empecemos con lo que necesitas saber.

1. Use nombres de usuario y contraseñas fuertes

Con mucho, el error más común y fácilmente evitable que cometen las personas al realizar una instalación de WordPress es no cambiar el nombre de usuario de administrador predeterminado  .

La razón por la que esto debe hacerse es simple: si alguien está tratando de ingresar a su sitio web por la fuerza bruta, dejar el nombre de usuario predeterminado como está básicamente elimina una variable de la ecuación y significa que los malos solo necesitan adivinar su contraseña.

Los usuarios  han podido elegir su propio nombre de usuario de administrador durante la configuración desde  WordPress 3.0 . Si no obtuviste esta opción durante el proceso de instalación y has estado ignorando las alertas de actualización de WordPress en tu tablero, ahora podría ser el momento perfecto para realizar esas actualizaciones y ocuparte de los negocios.

Su contraseña es su segunda línea de defensa y, aunque estoy seguro de que está cansado de que le digan que elija contraseñas seguras y que use contraseñas únicas para cada sitio, en realidad es algo que tiene que hacer. La pequeña cantidad de esfuerzo que esto requiere cuando lo haces de manera organizada es trivial en comparación con la molestia de tratar de reparar un sitio comprometido.

Un buen administrador de contraseñas casi siempre incluirá herramientas sólidas de generación de contraseñas y hará que la administración de sus diversos inicios de sesión sea pan comido. LastPass , Roboform y 1Password son excelentes opciones en este sentido.

Para una capa adicional de seguridad, también debe habilitar la autenticación de dos factores mediante el uso de complementos como la seguridad de iThemes (cubierto en nuestra lista a continuación). Es fácil para los propietarios de sitios pasar por alto este paso para que iniciar sesión por sí mismos sea lo más sencillo posible. Sin embargo, se alegrará de haber activado la opción cuando reciba sus primeras notificaciones sobre intentos fallidos de inicio de sesión de fuentes desconocidas.

2. Proteja su pantalla de inicio de sesión

Incluso si su combinación de nombre de usuario/contraseña es tan segura como Fort Knox, un atacante dedicado podría obtener acceso a su panel si su pantalla de inicio de sesión no está protegida contra ataques de fuerza bruta.

Una manera fácil de evitar esto es limitar la cantidad de intentos de inicio de sesión permitidos desde cualquier fuente dentro de un período de tiempo específico. Si bien la misma dirección IP que intenta iniciar sesión una y otra vez sin éxito podría atribuirse a alguien que tiene mala memoria, es mucho más probable que sea un atacante que intente diferentes permutaciones de nombres de usuario y contraseñas.

Su pantalla de inicio de sesión tampoco debería informar a los usuarios en qué campo se han equivocado si no proporcionan la información correcta. Como se mencionó anteriormente, se debe evitar cualquier cosa que potencialmente ayude a los atacantes a reducir sus opciones eliminando una variable.

Los captchas también pueden ser una herramienta valiosa para proteger las pantallas de inicio de sesión contra ataques de bots. Aunque los piratas informáticos ingeniosos han recurrido a la agricultura de la solución de captcha a humanos reales para forzar sitios de fuerza bruta en el pasado, aún lo ayudan a configurar un pequeño obstáculo y no deben pasarse por alto, especialmente considerando lo fáciles que son de configurar .

Otra medida que puede tomar es configurar las notificaciones que se le enviarán cada vez que haya un intento de inicio de sesión que podría considerarse sospechoso. Por ejemplo, ¿se supone que eres el único con acceso al tablero? Entonces, ¿por qué un tipo en Rusia intenta iniciar sesión a las tres de la mañana? Instalar un cortafuegos para bloquear las direcciones IP que se han incluido previamente en la lista negra también es una medida sensata. Todo esto se puede lograr a través de los complementos que enumeraremos más adelante.

3. Comprender los permisos de archivos y carpetas

En la gran mayoría de los casos, no debería perder el tiempo con los valores predeterminados de WordPress, pero vale la pena tener al menos una comprensión superficial de los modos de permisos de archivos en general.

Los dos modos más comunes con los que se encontrará son 644 y 755. Estas son básicamente categorías que determinan el conjunto de reglas que rigen cada archivo o directorio (es decir, quién puede leer, abrir o modificar archivos).

Los archivos y directorios categorizados bajo el modo 644 pueden ser leídos y escritos (esto es lenguaje UNIX para modificar de cualquier manera) por su propietario (el usuario en el servidor que los creó), pero solo los pueden leer todos los demás. Esta es la configuración ideal para muchos tipos de archivos.

Mientras tanto, el modo 755 se usa principalmente para carpetas, ya que permite que todos los usuarios cambien a ese directorio. Ocasionalmente encontrará complementos que requieren que ciertas carpetas se establezcan en 755.

Los permisos de archivos y carpetas pueden ser un tema que te derrite la cabeza si eres nuevo en esto, pero, si no recuerdas nada más, ten en cuenta que siempre debes evitar establecer un modo de permiso en 777, incluso si un complemento te lo pide explícitamente. a menos que sepa exactamente lo que está haciendo.

Este modo es básicamente un gran no-no, ya que otorga acceso completo a absolutamente cualquier usuario, lo que les permite leer, escribir o eliminar directorios a voluntad y potencialmente causar todo tipo de problemas.

4. Copia de seguridad, copia de seguridad, copia de seguridad

Aunque camine por el valle de la sombra de la muerte, no temeré mal alguno, porque debidamente he realizado copias de seguridad.

Las copias de seguridad son una parte tan simple pero crucial de la seguridad del sitio que deben predicarse como un evangelio.

En el desafortunado caso de una brecha de seguridad, ya sea catastrófica o de otro tipo, estará enormemente agradecido de haber tenido las copias de seguridad adecuadas. Si no los coloca en su lugar con anticipación, el camino de regreso podría ser largo y doloroso.

El único inconveniente potencial aquí es si solo está realizando copias de seguridad semi-regularmente, donde corre el riesgo de una posible pérdida de datos si las copias de seguridad están desactualizadas. Una copia de seguridad semanal o quincenal debería ser más que suficiente para la mayoría de los sitios web y estos se pueden automatizar a través de complementos para que no tenga que acordarse de realizarlos manualmente.

Si le preocupa mantener una gran biblioteca de copias de seguridad innecesarias, eso podría suceder. Pero, de nuevo, estamos en 2015: el espacio de almacenamiento en línea y fuera de línea es ridículamente barato y el costo que implica bien vale la pena por la tranquilidad que brinda. Además, siempre puede rotar las instantáneas más antiguas fuera del almacenamiento una vez que haya pasado una cantidad de tiempo determinada para ahorrar espacio.

5. Mantén WordPress actualizado

Todos sabemos lo molesto que puede llegar a ser tener que lidiar con las notificaciones de «actualización disponible» tanto para el propio WordPress como para todos los complementos que tengas instalados. Sin embargo, hay una razón por la cual los equipos de desarrollo se toman la molestia de lanzar actualizaciones constantes y no es solo para incluir nuevas funciones.

A pesar de lo fácil que es usar WordPress, sigue siendo un CMS bastante complejo. Cuando agrega complementos además de eso, además de las interacciones entre ellos, potencialmente está abriendo una lata bastante grande de vulnerabilidades de seguridad que los desarrolladores deben controlar para proteger a sus usuarios.

Saltarse la última actualización puede significar la diferencia entre tener un sitio web con una vulnerabilidad flagrante que a los piratas informáticos les encantaría explotar o no.

Mientras estás en eso, ¡tampoco leas los registros de cambios! Es posible que te pierdas información importante sobre problemas de compatibilidad entre complementos o versiones de WordPress. Ese es el tipo de cosas que pueden romper un sitio web sin darse cuenta.

Es particularmente importante prestar atención a las versiones de seguridad de WordPress , así que tómese un tiempo para verificar que su sitio esté actualizado con la mayor frecuencia posible.

No te preocupes, hay un complemento para eso

Muy bien, ahora tiene una comprensión básica de las cinco medidas básicas de seguridad con las que todo propietario de un sitio de WordPress debería estar familiarizado. Puede encontrar más información excelente en el sitio de WordPress en la sección Fortalecimiento de WordPress del Codex .

Ahora centraremos nuestra atención en algunos de los mejores complementos disponibles para ayudarlo a manejar parte del trabajo pesado relacionado con la seguridad de su sitio.

Una breve advertencia antes de continuar:  al igual que con cualquier complemento, existe la posibilidad, por remota que sea, de que al activar algunas de las funciones incluidas en nuestras selecciones se rompan o causen errores en su sitio. Por lo general, son más fáciles de configurar en nuevas instalaciones, por lo que, si se trata de un sitio activo, le recomendamos que realice una copia de seguridad completa antes de configurar nada.

Echemos un vistazo a nuestra selección de cinco destacados complementos generales de seguridad de WordPress .

1. Seguridad de Wordfence

Compatible hasta: 4.3.1

Última actualización: 2015-9-14

Calificación: 4.9 de 5 estrellas (con más de un millón de instalaciones)

Actualmente, el complemento de seguridad más popular disponible para WordPress, Wordfence Security tiene versiones gratuitas y premium. Ofrece bloqueo en tiempo real de fuentes maliciosas, seguridad de inicio de sesión, escaneos de malware, un firewall, soporte para múltiples sitios y muchas otras características.

Sus opciones de monitoreo le permiten escanear todo el tráfico a su instalación de WordPress en tiempo real y dividir humanos, bots, intentos de inicio de sesión y errores de «sitio no encontrado».

El principal punto de venta de Wordfence es cómo aprovecha su gigantesca base de usuarios activos para registrar intentos de penetración maliciosos y bloquear las fuentes de cualquier otro sitio en su «red». En esencia, el software mejora en la prevención de ataques a medida que más personas lo instalan.

2. Seguridad de iTemas

Compatible hasta: 4.3.1

Última actualización: 2015-9-15

Calificación: 4.7 de 5 estrellas (con más de 600,000 instalaciones)

Anteriormente conocido como Better WP Security,   iThemes Security es una solución de seguridad de WordPress establecida disponible en versiones gratuitas y premium y debería ser más que suficiente para cubrir las bases de la mayoría de los propietarios de sitios.

Sus características incluyen autenticación de dos factores con Google Authenticator o Authy , escaneos de malware, fechas de vencimiento de contraseñas forzadas, comparación de archivos, la capacidad de otorgar temporalmente privilegios de administrador a otros usuarios y registros detallados de las acciones de los usuarios.

3. Seguridad y cortafuegos todo en uno WP

Compatible hasta: 4.3.1

Última actualización: 2015-9-18

Calificación: 4.9 de 5 estrellas (con más de 200,000 instalaciones)

Una solución que hace honor a su nombre. All In One WP Security & Firewall tiene una interfaz amigable que le muestra un medidor de fuerza de seguridad, un desglose de puntos de seguridad y el estado de características críticas como nombres de usuario predeterminados, bloqueos de inicio de sesión, permisos de archivos y un firewall.

Sus características se dividen en secciones básicas, intermedias y avanzadas para aquellos que prefieren un ajuste fino e incluyen seguridad de cuenta e inicio de sesión, seguridad de registro, copia de seguridad de la base de datos, protección del sistema de archivos, listas negras, funciones de firewall, prevención de ataques de fuerza bruta y mucho más.

El complemento también está disponible en 11 idiomas, lo que lo convierte en una excelente opción para sitios multilingües.

4. Seguridad a prueba de balas

 

Compatible hasta: 4.3.1

Última actualización: 2015-9-9

Calificación: 4.7 de 5 estrellas (con más de 100,000 instalaciones)

Bulletproof Security es una ventanilla única para resolver algunas de las fallas de seguridad más comunes presentes en las instalaciones de WordPress. Incluye protección .htaccess , protocolos de seguridad de inicio de sesión, copias de seguridad automáticas de bases de datos, registros de errores HTTP, caducidad de cookies de autenticación y muchas otras características.

También hay una versión premium profesional que cuesta $ 59.95 que agrega monitoreo de archivos en tiempo real, sistemas de detección y prevención de intrusiones, un firewall solo para sus complementos, medidas contra el correo no deseado y 16 complementos adicionales para una cobertura modular.

La configuración del complemento se puede realizar manualmente o mediante un asistente de un solo clic que activa automáticamente todas las funciones de seguridad.

5. Seguridad Sucurí

Compatible hasta: 4.2.5

Última actualización: 2015-7-30

Calificación: 4.6 de 5 estrellas (con más de 100,000 instalaciones)

Otra solución general sólida, Sucuri Security proporciona auditoría de seguridad general, modificaciones y permisos de archivos, escaneo de malware, listas negras, un firewall y notificaciones.

Las notificaciones se envían por correo electrónico y puede establecer un máximo por hora, definir un umbral de inicios de sesión fallidos desde la misma dirección IP antes de que se consideren maliciosos, y recibir alertas sobre inicios de sesión exitosos y fallidos y publicar cambios.

Soluciones de un solo propósito

Si bien nuestros complementos para todo uso mencionados anteriormente son excelentes para la mayoría de las ocasiones, es posible que solo esté interesado en proteger un aspecto particular de su sitio web.

Después de todo, configurar docenas de funciones puede ser una verdadera molestia si solo está interesado en realizar un trabajo en particular. Aquí hay un resumen rápido de tres prácticas soluciones de un solo propósito.

1. Copia de seguridad de WP-DB

Compatible hasta: 4.2.5

Última actualización: 2015-7-8

Calificación: 4.6 de 5 estrellas (con más de 500,000 instalaciones)

WP-DB-Backup es un complemento muy simple que, como su nombre lo indica, le permite realizar copias de seguridad de los archivos de la base de datos principal de WordPress.

El desarrollador tomó una decisión consciente solo para permitir la copia de seguridad de los archivos de la base de datos central, ya que son lo principal que necesitará recuperar si su sitio es violado o se cae.

Se requiere phpMyAdmin para restaurar su base de datos desde una copia de seguridad, así que asegúrese de que su panel de control de alojamiento lo incluya. (estamos 99.9% seguros de que lo hará, pero nunca está de más tener cuidado).

2. Solución de seguridad de inicio de sesión

Compatible hasta: 4.2.5

Última actualización: 2015-5-25

Calificación: 4.3 de 5 estrellas (con más de 20,000 instalaciones)

Login Security Solution es un complemento simple dedicado, como su nombre indica, a proteger su pantalla de inicio de sesión. Está diseñado para detectar anomalías dentro del proceso, como detectar intentos de inicio de sesión realizados por programas de «relleno de formularios», hacer coincidir los intentos de inicio de sesión actuales con los anteriores y determinar si una cuenta se ha visto comprometida. También puede analizar la seguridad de sus contraseñas, forzar a los usuarios a cambiarlas constantemente y notificarle cada vez que se intente una violación.

BBQ: Bloquear consultas incorrectas

Compatible hasta: 4.3.1

Última actualización: 2015-8-8

Calificación: 5 de 5 estrellas (con más de 50,000 instalaciones)

Block Bad Queries  es el único miembro de cualquiera de nuestras listas con un puntaje de revisión perfecto, impresionante incluso si solo estamos hablando de 35 revisiones. Es liviano, fácil de instalar y hace exactamente lo que se supone que debe hacer: filtrar su tráfico y bloquear consultas incorrectas o solicitudes de URL maliciosas.

Resumen

Si vas a sacar algo de este artículo, debería ser esto: ¡no entres en pánico! Ampliar su conocimiento es la clave para bloquear su sitio y mantener la calma. Aquí hay un resumen rápido de nuestras cinco medidas de seguridad esenciales:

  • Utilice nombres de usuario y contraseñas fuertes.
  • Asegure su pantalla de inicio de sesión.
  • Comprender los permisos de archivos y carpetas.
  • Haz una copia de seguridad de tu sitio.
  • Mantén WordPress actualizado.

Como propietario o desarrollador de un sitio, siempre habrá vulnerabilidades y vectores de ataque de los que preocuparse, pero nunca ha sido tan fácil mantener una instalación segura de WordPress como lo es hoy. La plataforma en sí se ha fortalecido considerablemente a lo largo de los años y existen excelentes soluciones de complementos como las que describimos anteriormente para ayudarlo a marcar su configuración y dormir mejor por la noche.

¿Tienes algún consejo de seguridad de WordPress que te gustaría compartir? Háganos saber en los comentarios.

Imagen en miniatura del artículo por sibgat / shutterstock.com.