Guía básica de seguridad informática para Wordpress

Alvaro Fontela

nov 06, 20156 min de lectura
Guía básica de seguridad informática para Wordpress

Actualmente Wordpress está siendo literalmente “masacrado” por ataques diarios a la seguridad informática de millones de sitios web creados en esta plataforma.

Aunque es un CMS seguro, al ser el más utilizado del mundo, tiene muchos hackers intentando crear códigos maliciosos para Wordpress e intentando encontrar agujeros en el código que permitan a un atacante externo acceder al sitio web o al menos dejarlo inutilizado durante algún tiempo.

Aunque millones de sitios son atacados con éxito cada día, es muy fácil protegerse contra ataques externos y malware en Wordpress, de hecho, para blindar nuestra seguridad informática apenas hay que seguir una serie de reglas que nos permitirán securizar una instalación de Wordpress hasta el punto de conseguir una seguridad efectiva al 99,9%.

Seguridad informática en Wordpress

Vamos a distinguir dos tipos de problemas de seguridad informática en Wordpress:

Ataques externos

Son ataques que vienen desde servidores externos y que, normalmente, lo que pretenden es hacer que nuestro sitio empiece a consumir recursos de forma descontrolada.

Entre estos tipos de ataques se engloban los ataques DDOS, ataques de fuerza bruta o bots descontrolados que saturan nuestra web.

Malware e infecciones con código malicioso

En este caso se trata de archivos de nuestro sitio web (normalmente plugins y themes) que son infectados y que pueden causar bastantes daños como por ejemplo, penalizaciones por parte de Google o envíos de SPAM desde nuestro servidor de hosting.

Por lo general, los problemas de seguridad informática de Wordpress se engloban en estos dos tipos, aunque siempre pueden existir excepciones, pero las probabilidades son realmente bajas (por ejemplo: cuando la contraseña es muy simple y un visitante manualmente puede llegar a acceder a la administración del sitio web).

Pasos para mejorar la seguridad informática de tu Wordpress

Paso 1 ⇒ Cambiar la URL de login de Wordpress

Cambiar la URL de acceso al WP-ADMIN y WP-LOGIN.PHP de Wordpress es una de las medidas de seguridad más importantes que debemos tomar en una instalación de Wordpress.

La importancia de cambiar la URL de login viene dada porque si un bot intenta realizar un ataque por fuerza bruta contra nuestro Wordpress con el fin de adivinar la contraseña, al estar cambiada la URL, el bot no podrá realizar el ataque o siempre obtendrá un 404, lo que hará que nuestro Wordpress no consuma tantos recursos si recibimos un ataque de este tipo.

Cambiar la URL de WP-ADMIN o WP-LOGIN.PHP en Wordpress es fácil, para ello debemos utilizar el plugin LockDown WP Admin .

Seguridad informática - Cambiar URL

Como ves en la imagen anterior, solo tienes que marcar el checkbox “Yes, please hide WP Admin from the user when…” en la sección Hide WP Admin y posteriormente debes rellenar el campo correspondiente en la sección Wordpress Login URL para personalizar la URL de login de Wordpress.

Si activamos la autentificación HTTP mediante la sección HTTP Authentication podremos mejorar un poco más la seguridad informática de Wordpress, aunque el proceso de autentificación en el panel de administración de Wordpress para cualquier tipo de usuario sería muy lento debido a la doble verificación.

Paso 2 ⇒ Limitar el número de intentos de inicio de sesión en Wordpress

Si algo tienen en común los bots es que no tienen inteligencia, por lo que cuando atacan o “enganchan” la página de login de un sitio web suelen intentar entrar hasta que los bloqueamos o hasta que el servidor o el plan de hosting se quedan sin recursos para seguir atendiendo las peticiones.

Si en nuestro sitio no tenemos ningún formulario de login publicado y a la vista (además del WP-ADMIN y WP-LOGIN.PHP claro) y aplicamos lo explicado en el paso 1, no tendremos ningún problema pero, si por ejemplo, tenemos un widget con un formulario de acceso podemos llegar a tener problemas si un bot se empeña en intentar entrar.

Para protegernos contra este tipo de ataques por fuerza bruta podemos utilizar el plugin Limit Login Attemps para Wordpress:

Seguridad informática Wordpress - evitar ataques fuerza bruta

Como ves, con este plugin podemos configurar el número límite de intentos de inicio de sesión, el tiempo de bloqueo y el listado de bloqueos.

Es un plugin simple, pero efectivo y, sobretodo, un plugin indispensable que casi no consume recursos y que al menos nos garantiza estar al tanto de los intentos de inicio de sesión externos en nuestro Wordpress.

Paso 3 ⇒ Wordfence contra el malware

No lo voy a negar, me encanta Wordfence, me parece un plugin realmente útil y que en la mayoría de los casos no se suele aprovechar.

Wordfence Security es un plugin que puede ser utilizado para desinfectar instalaciones de Wordpress, esto es algo que la mayoría de sus usuarios no saben.

Seguridad informática Wordpress - desinfectar instalaciones

Durante los análisis, Wordfence Security analiza todos los archivos de wp-content de nuestro sitio web en busca de archivos que puedan estar infectados, también se comprueban vulnerabilidades en el SSL y que los archivos originales de Wordpress no hayan sido modificados o inyectados.

Pero el verdadero fuerte de Wordfence Security es que es capaz de analizar y detectar malware en la base de datos de Wordpress, algo que otras opciones de detección no permiten y que, sin duda, ayuda ya que, en la mayoría de las ocasiones el código malicioso está inyectado en la base de datos.

Seguridad informática Wordpress - bases de datos

La única desventaja que tiene Wordfence Security es que puede llegar a consumir bastantes recursos y que además también puede detectar falsos positivos ya que su escáner es bastante sensible a posibles cambios que puedan tener los archivos de Wordpress y los archivos de los plugins y los themes.

Puedes encontrar más información sobre Wordfence Security para Wordpress en la siguiente dirección URL:

Paso 4 ⇒ Checklist de seguridad de Wordpress

Existen plugins que nos permiten hacer comprobaciones sobre la seguridad informática de toda una instalación de Wordpress teniendo en cuenta las distintas variables y circunstancias que pueden existir en un sitio web.

Personalmente hay un plugin que me encanta para hacer estos checklist, el plugin se llama WP Security Audit Log y es relativamente nuevo pero soy consciente de que existen soluciones mucho más completas y más efectivas que comprueban más detalles.

WP Security Audit Log

SecureMoz Security Audit

All in One Security & Firewall

iThemes Security

En cualquier caso, manejar este tipo de plugins requiere conocimientos avanzados en la mayoría de los casos, al menos para conseguir explotar sus posibilidades al 100% y no reventar tu sitio web al intentar securizarlo.

En esta guía básica no vamos a detallar como cumplir algunas reglas que comprueban estos plugins, pero para solucionar algunos de los puntos declarados por estos plugins como fallos de seguridad informática, es necesario tener al menos conocimientos o estar familiarizado con Wordpress y saber cambiar los permisos desde FTP o incluso algunos errores declarados pueden tener que ver con la configuración PHP del servidor.

Paso 5 ⇒ Prevención y lógica

Este último paso puede llegar a ser muy simple, pero la mayoría de los administradores de sitios web Wordpress lo pasan todo por alto.

En la mayoría de los casos las infecciones están provocadas por fallos de seguridad que se podrían prevenir utilizando la lógica, es decir, pensando cómo se hacen las cosas y las consecuencias que van a tener.

Debes tener en cuenta las siguientes reglas básicas para que tu Wordpress sea siempre seguro y estable:

Las contraseñas deben ser seguras y deben estar compuestas por números, letras y si puede ser símbolos, sin que se corresponda con ningún tipo de palabra del diccionario en ningún idioma ni con ninguna palabra o nombre ligada a nosotros.

Los plugins y themes SIEMPRE deben descargarse desde orígenes seguros y fiables, si desconfías de una página, no bajes nada de ella ya que un simple theme o plugin con malware instalado en tu Wordpress puede destrozar tu instalación.

Si crees que estás recibiendo ataques por parte de un bot o estás recibiendo un ataque DDOS, contacta con profesionales, en muchas ocasiones desde Wordpress no puedes hacer nada, quien tiene que bloquear el ataque es el proveedor de hosting.

Debes tener cuidado con que el ordenador a través del que siempre entras a tu Wordpress no tenga virus, en muchas ocasiones las contraseñas con recogidas mediante keyloggers instalados en tu PC.

Pasos para mejorar la seguridad informática de tu Wordpress

Foto ( Seguridad Wordpress): Shutterstock

Y tú ¿qué otros consejos puedes darnos para mejorar tu seguridad informática en Wordpress?

Compartir
Author Photo
Mi nombre es Alvaro, soy consultor especializado en Wordpress y co-fundador de Raiola Networks, un proveedor de hosting especializado en la administración de servidores Linux y en Wordpress. Soy la persona encargada de publicar en el blog de Raiola Networks donde hablo sobre Wordpress y sobre servidores intentando llegar al máximo número de lectores.