Seguridad en WordPress: mejoras obligatorias para proteger tu sitio web

Sin comentarios
Mejoras obligatorias para la seguridad en WordPress

Puede ser que al leer Seguridad en WordPress y mejoras obligatorias pienses ¿acaso WordPress no es seguro? Te contesto ya: sí, WordPress es muy seguro, pero como todo sistema siempre se pueden mejorar algunos puntos.

Hoy quiero hablarte precisamente de ¿por qué? y ¿de qué? debemos proteger nuestro sitio web hecho con WordPress y, una vez entendido que el problema no es el sistema, sino el uso que damos al sistema, te contaré 4 mejoras de seguridad básicas para WordPress.

Así que si te parece vamos a ello. Y, si después decides implementar estas mejoras de seguridad en WordPress, te voy a dejar un tutorial donde te lo explico paso a paso.

¿WordPress es seguro?

Sí, completamente, pero debemos darle un buen uso y, además, mantenerlo actualizado. Todo evoluciona, todo mejora pero necesita unos cuidados básico de tu parte.

¿Por qué debemos mejorar la seguridad en WordPress?

WordPress es un software de código abierto, y esto significa que cualquier persona puede ver su código, modificarlo y mejorarlo. Esto es lo que ha hecho que WordPress crezca tanto y sea ahora, con una gran diferencia, el CMS más utilizado del mundo.

Pero el hecho de que sea abierto hace que otras personas, con malas intenciones, vean su código, lo analicen en busca de fallos y se aprovechen de ello, por eso debemos estar siempre a la última con las actualizaciones de WordPress. Si te interesa saber más sobre qué tipos de actualizaciones hay y qué pasos deberías seguir a la hora de hacerlas déjalo en los comentarios y lo veremos más adelante.

La buena noticia es que la Comunidad que tiene detrás sigue evolucionando la herramienta (WordPress) y mejorando por lo que únicamente debes preocuparte de mantener tu WordPress actualizado.

¿De qué debemos protegernos?

Debemos protegernos de los ataques de fuerza bruta.

Como te comentaba, el código de WordPress es visible para todo el mundo, por lo tanto, todo el mundo puede saber que una web hecha con WordPress por defecto va a tener su panel de administración en la url: www.tuwebhechaconwordpress.com/wp-admin.

También es sabido que por defecto, WordPress no implementa un limitador de intentos de acceso. Por lo tanto, sabiendo estas dos cosas, cualquier persona que sepa que tu web está hecha con WordPress podrá acceder a esa ruta e intentar de forma indefinida combinaciones de usuario y contraseña hasta que consiga acceder a tu panel.

Explicado de forma sencilla, eso es un ataque de fuerza bruta, y es el 90% o más de los ataques que sufren las instalaciones hechas con WordPress. ¿Por qué?

Porque es código abierto y es sabido cómo funciona. Y aquí me gustaría remarcar que el hecho de que sea código abierto es una ventaja enorme, simplemente debemos hacer un par de mejoras.

Imagina que puedes instalar en tu casa la mejor puerta de seguridad del mundo y de forma gratuita, pero cuando te vas de casa dejas la llave debajo del felpudo y además no tienes alarma de seguridad. ¿Es culpa de los ingenieros que han hecho esa maravilla tecnológica si te entran a robar?

Un poquito más sobre seguridad en WordPress

Los puntos imprescindibles de seguridad en WordPress que te voy a contar hoy son solo una primera capa. Si nos ponemos técnicos, podríamos hacer muchísimas cosas más, sobre todo buenas prácticas como no dar permisos de administrador a todos los usuarios o no escribir los artículos de tu blog con el usuario administrador.

Tendríamos conversación para rato. Las mejoras de seguridad en WordPress que te quiero compartir son las que considero que absolutamente todas las instalaciones deberían tener, sin importar qué tipo de web son: blogs, tiendas online, foros, SAS, etc.

Ataques de fuerza bruta en WordPress

Los ataques de fuerza bruta se hacen de forma programada con bots. No hay una persona entrando web por web e intentando combinaciones infinitas de usuario y contraseña. ¿Te imaginas?

Por lo tanto, como se trata de una programación, o lo que es lo mismo, seguir una serie de pasos, únicamente tenemos que romper estos pasos para que no puedan continuar.

¿Qué pasos sigue un ataque de fuerza bruta?

  1. Acceder al sitio web.
  2. Comprobar que es WordPress y de qué versión se trata.
  3. Acceder al panel de administración.
  4. Intentar combinaciones de usuario y contraseña hasta conseguir acceder al sistema.

¿Cómo evitar ataques de fuerza bruta en WordPress?

Sencillamente tenemos que mejorar la seguridad en WordPress para evitar los pasos anteriores cuanto antes mejor. Por lo tanto vamos a implementar las siguientes mejoras:

#1 Bloquear el listado de usuarios en WordPress

Hay diferentes maneras de conocer los usuarios que hay en una instalación de WordPress. Lo que vamos a hacer es no mostrar esta información del sistema porque, si lo hacemos, ya le estamos dando la mitad del trabajo hecho al bot que viene a hacer un ataque de fuerza bruta.

#2 Modificar la ruta de acceso al panel de WordPress

Para hacer intentos de acceso, primero debemos conocer este acceso, que como hemos dicho antes por defecto es /wp-admin. Pues bien, lo que vamos a hacer es cambiar este acceso por alguna palabra significativa, para que el bot no sepa “donde está la puerta de tu casa”.

Aquí es recomendable no utilizar palabras deducibles como puedes ser “panel” o “acceso”. ¿Qué te parece poner la palabra “grapadora” o mejor aún “aif4kgd2”? Eso sí, debes recordarlo de algún modo.

#3 Limitar los intentos de login

Como ya hemos visto, en resumen, un ataque de fuerza bruta es intentar acceder muchísimas veces. Lo que vamos a hacer entonces es ponerle una cantidad de intentos y, si los sobrepasa, lo bloqueamos.

De este modo, aunque consiga llegar a nuestro acceso y sepa el usuario, le va a ser imposible dar con la contraseña.

Cómo implementar las mejoras de seguridad básicas para WordPress

Llegados a este punto, hemos visto por qué y de qué debemos protegernos y cómo lo vamos a hacer. Solo nos queda llevarlo a la práctica así que vamos a ello.

He creado este videotutorial guiado paso a paso para explicarte cómo implementar estas medidas de seguridad para WordPress

Espero que te sirva de ayuda y que lo implementes lo antes posible en todas tus instalaciones, porque este es la mayor causa de hackeos que hay. Así que evítalo cuanto antes.

Y si te ha quedado cualquier pregunta sobre cómo mantener la seguridad en WordPress, no dudes en dejarnos un comentario.

Newsletter

Suscribir

 

 
 

BlogsterApp te informa que los datos de carácter personal que nos proporciones rellenando el presente formulario serán tratados por BlogsterApp Ambassador, S.L. (BlogsterApp) como responsable de esta web. La finalidad de la recogida y tratamiento de los datos personales que te solicitamos es para gestionar el alta a esta suscripción y remitir boletines periódicos con información y oferta prospectiva de productos o servicios propios. Legitimación: Consentimiento del interesado. Como usuario e interesado te informo que los datos que nos facilitas estarán ubicados en los servidores de AgileCRM (proveedor de email marketing de BlogsterApp) fuera de la UE en  EEUU y no esta en privacy shield: no está acogido al convenio de seguridad entre UE y EEUU (Privacy Shield), por lo que no garantiza unos niveles de seguridad adecuados en la transferencia internacional de tus datos. Aunque actualmente están implementando los cambios para cumplir con el Reglamento Europeo de protección de datos (RGPD GDPR). Al cumplimentar este formulario consientes expresamente dicha transferencia internacional de datos. El hecho de que no introduzcas los datos de carácter personal que aparecen en el formulario como obligatorios podrá tener como consecuencia que no podamos atender tu solicitud. Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en administracion@blogsterapp.com así como el derecho a presentar una reclamación ante una autoridad de control. Puedes consultar la información adicional y detallada sobre Protección de Datos en nuestra página web: blogsterapp.com, así como consultar nuestra política de privacidad.

Conoce a los autores de nuestro blog

Sin comentarios
BlogsterApp te informa que los datos de carácter personal que nos proporciones rellenando el presente formulario serán tratados por BlogsterApp, S.L. (BlogsterApp) como responsable de esta web. La finalidad de la recogida y tratamiento de los datos personales que te solicitamos es para gestionar los comentarios que realizas en este blog. Legitimación: Consentimiento del interesado. Como usuario e interesado te informo que los datos que nos facilitas estarán ubicados en los servidores de Siteground (proveedor de hosting de BlogsterApp ) dentro de la UE. Ver política de privacidad de Siteground. El hecho de que no introduzcas los datos de carácter personal que aparecen en el formulario como obligatorios podrá tener como consecuencia que no podamos atender tu solicitud. Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en administracion@blogsterapp.com así como el derecho a presentar una reclamación ante una autoridad de control. Puedes consultar la información adicional y detallada sobre Protección de Datos en nuestra página web: blogsterapp.com, así como consultar nuestra política de privacidad