Unlimited WordPress themes, graphics, videos & courses! Unlimited asset downloads! From $16.50/m
Advertisement
  1. Code
  2. Security
Code

10 Pasos para Proteger Tu Instalación de WordPress

by
Length:MediumLanguages:

Spanish (Español) translation by Eva Collados Pascual (you can also view the original English article)

WordPress es de código abierto, lo que significa que cualquiera, incluyendo hackers con intenciones maliciosas, puede tocar el código fuente en busca de brechas en su seguridad. Por este motivo voy a enseñarte algunas buenas medidas de prevención para protegerte, a tu WordPress y lo que es más importante aún, a tus usuarios.


#1 Elimina el Superusuario Admin

Probablemente, de las cosas más sencillas que puedes hacer para protegerte es cambiar/eliminar el superusuario admin. Cualquiera que use WordPress sabe que existe con toda seguridad un usuario llamado admin, sobre todo los hackers. Si el nombre de usuario es admin, no puede costar mucho crackear la contraseña. Crea un nuevo usuario con privilegios de administración, pero esta vez con un nombre diferente, y después elimina la antigua cuenta del usuario admin.

De hecho, lo que yo personalmente te recomiendo es que crees una cuenta de administración con un nombre de usuario y una contraseña muy complicados, (algo así x7duEls91*), guárdala en algún sitio, y crea otra cuenta solo para publicar contenido que tenga tu nombre y no disponga de poderes administrativos. La cuenta admin es esencialmente necesaria solo para gestionar los temas, plugins y otros aspectos del sitio que no necesitan cambiarse habitualmente - con una cuenta de editor tendrás suficiente.

"Trata tu contraseña como si fuese tu cepillo de dientes. No dejes que nadie más la use, y cámbiala cada seis meses".
~Clifford Stoll


#2 Elige una Contraseña Fuerte 

Independientemente del tipo de web que estés gestionando, puedes estar en riesgo de un ataque de fuerza bruta. Cuando eliminamos el usuario admin en el primer paso, probablemente disuadimos a la mayoría de hackers pero siempre existen algunos muy persistentes o que ya conocen tu nombre de usuario. El siguiente paso es elegir una contraseña difícil y diversa. Una buena forma de determinar si tu contraseña es segura o no, es introducirla en un probador de contraseñas como passwordmeter.com o generar una contraseña aleatoria.


#3 Protege Tu Contraseña

De todas manera, yo prefiero tomar precauciones adicionales para proteger mi blog, instalando plugins podríamos añadir una capa extra de seguridad. Existen multitud de plugins para gestionar contraseñas y otros aspectos del inicio de sesión en WordPress. Un plugin que me parece muy útil es Login LockDown; almacena las direcciones IP y el momento en el que se haya realizado un intento fallido de inicio de sesión, además bloquea la IP que haya intentado iniciar varias veces sesión de forma fallida. Este plugin es especialmente útil para protegerte de ataques de fuerza bruta - la mayoría de los atacantes desisten seguir atacando a una web si se les prohibe el acceso mediante bloqueo de IP cada 5 minutos mientras ejecutan su programa de fuerza bruta.


#4 Mantén WordPress Siempre Actualizado

Como ya he comentado, WordPress es de código abierto, lo que lo convierte en un objetivo más fácil para los hackers. Casi 60 millones de sitios usan WordPress, cuando Automattic lance una actualización, actualices tu sitio cuanto antes, porque cuando hacen esto también publican las nuevas vulnerabilidades que han descubierto y resuelto. Además, no lleva mucho tiempo realizar una actualización de tu instalación de WordPress, según WordPress sólo 5 minutos hasta completarse.


#5 Oculta la Versión de WordPress

Imagina que te hayas olvidado de actualizar tu instalación de WordPress, o simplemente que no dispones de los 5 minutos libres que esto exige. La versión de WordPress que estés usando proporciona a los hackers pistas sobre cómo pueden hackear tu sitio, especialmente si está no está actualizado.

Por defecto, WordPress muestra la versión en uso, ya que les interesa analizar cuanta gente usa cada una de ellas, etc. No obstante, esto es como colocar una lucecita roja indicando a los hackers lo que pueden hacer.

Si estás usando un tema premium, cabe la posibilidad de que el desarrollador se haya tomado la libertad de deshabilitarla por ti, pero siempre es mejor asegurarse. Abre tu archivo functions.php e introduce esta línea de código.


#6 Cambia los Permisos de los Archivos

Es muy importante que tengas los permisos adecuados en tus archivos para asegurar la protección de tu sitio. Yo te recomiendo que restrinjas los permisos de tus archivos hasta el valor CHMOD de 744, el cual esencialmente los convierte en un archivos de sólo lectura para todos excepto para ti.

Simplemente abre tu programa de FTP, pulsa con el botón derecho sobre la carpeta o archivo y selecciona "File Permissions". Si actualmente están establecidos en 777, tienes mucha suerte de no haber sido hackeado todavía.


#7 Lista Blanca

Las listas blancas o "whitelists" te permiten gestionar quienes son capaces de acceder a ciertas partes de tu sitio. Es como construir La Gran Muralla China alrededor de tu carpeta admin, de forma que nadie, excepto tú, pueda acceder a ella. Esto lo conseguimos usando el archivo .htaccess. 

Navega a tu carpeta /wp-admin/, después comprueba si ya existe un archivo .htaccess, si no es así, simplemente créalo. Si ya tenías uno allí, te sugiero que hagas una copia del mismo antes de realizar cualquier edición. Por favor asegúrate de que estás en la carpeta wp-admin, y no en la carpeta raíz.

Pega el siguiente código en el archivo .htaccess:

Sustituye las xx's por tu dirección IP, la cual puedes encontrar a través de WhatsMyIP.org. Ahora cada vez que quieras iniciar sesión desde cualquier otro sitio con una IP distinta a la que acabas de añadir en tu archivo .htaccess, tendrás que añadir antes la nueva IP a la lista.


#8 Copia de Seguridad

Con independencia del nivel de seguridad de tu sitio WordPress, es un buen hábito realizar copias de seguridad de tu sitio. Existen muchas formas de hacerlo. Puedes aprovecharte de los cron jobs, si tu empresa de alojamiento te lo permite, empleando este comando:

Otra alternativa es usar VaultPress, un servicio de Automattic. Si estás interesado en aprender más sobre VaultPress, te recomiendo echar un vistazo a este tutorial.

La forma más sencilla de realizar la copia es acceder al panel de administración, navegar a Herramientas y después pulsar sobre Export. Esto te facilita la vida, especialmente cuando necesites configurar de nuevo tu WordPress.


#9 Oculta Tus Plugins

Colocar un índice en blanco en tu carpeta /wp-content/plugins/ ocultará todos tus plugins. Algunos de vosotros seguramente os estaréis preguntando, "¿A quién le importan mis plugins?". Bueno, los plugins podrían indicar a los hackers como atacar tu web, o al menos si es susceptible de ser hackeada.

Como puedes ver, los plugins son claramente visibles para cualquiera que navegue a la carpeta /wp-content/plugins/. Si un hacker ve que no existen en la misma plugins de seguridad, entonces inmediatamente sabe que será un trabajo sencillo. Añadir un archivo index.html vacío en la carpeta de los plugins es como poner una señal de seguridad en tu terreno, no importa si realmente tienes un sistema de seguridad, ya que el hacker no lo sabe y estará menos inclinado a realizar cualquier intento.  


#10 Analiza los Registros del Servidor

La mejor herramienta de seguridad, sin importar que plugin/software instales, eres . Para tener mayor tranquilidad y saber que estás completamente protegido, tienes que adoptar un enfoque proactivo en lo que respecta a la seguridad de tu web. Yo reviso los registros de mi servidor y las analíticas de la web tres veces al día para ver si observo algún comportamiento extraño.

¡Ya Lo Tienes!

Ahora que ya tienes una instalación de WordPress segura, estás preparado para publicar contenido con toda libertad sin el temor de ser hackeado. 

Si tienes alguna pregunta sobre este turorial, sobre la seguridad en WordPress o seguridad en general, simplemente deja un comentario y te contestaré tan pronto me sea posible.

Advertisement
Advertisement
Looking for something to help kick start your next project?
Envato Market has a range of items for sale to help get you started.