Son muchos los días en los que nos encontramos noticias en los que alguna página web importante ha sido hackeada o alguna base de datos con datos sensibles ha sido comprometida, y el resultado es mucho miedo. La semana pasada, preparando una presentación para un proyecto de consultoría de Wordpress, di con una lista de 10 consejos para mantener una página web wordPress segura.
Ya había hablado de como mantener la seguridad de WordPress a raya en mi blog de marketing online antes, pero con los tiempo que corren nunca podemos estar lo suficientemente tranquilos ¿no?. Vale la pena dedicar tiempo a revisar esta lista de consejos de seguridad y que tomar las acciones necesarias para ponerlas en práctica ¿Es tu página web segura? Vamos a empezar por lo básico:
Índice de contenidos
Tómate en serio la seguridad de WordPress
¿Por qué este artículo sobre seguridad de Wordpress? Pues muy fácil: Permanecer vigilante sobre la seguridad es una responsabilidad continua y crítica para cualquier propietario de una instalación WordPress. Realmente es una responsabilidad para todo el mundo que esté online, utilizes WordPress o no.
Así que seguiremos discutiendo temas sobre seguridad que van a ser tan importantes, o más, que el rendimiento (que también lo es). Tener tiempos de carga óptimos es una muy buena noticia, pero no si eres el anfitrión de enlaces ocultos a páginas web de Viagra o Google marca tu página como malware.
Soy consciente de que la seguridad puede ser un tema obtuso y difícil de comprender en ocasiones. Si no tienes un perfil técnico, los riesgos y garantías necesarias pueden ser difíciles de comprender.
No te preocupes, no estas solo, aquí es donde entro yo para ayudarte.
El año que lancé mi primer wordpress, hace ya 12 años, no sabía la diferencia entre DDOS y el jugador de rugby Mike Doss. Era de los que usaba la misma contraseña para mi acceso de administrador… para mi cuenta de Gmail… para mi cuenta bancaria… creo que se ha entendido la idea ¿verdad?.
Con el tiempo aprendí la importancia de tomarme muy en serio la seguridad de wordpress. Algunas de las lecciones que me ha dado la vida no han sido agradables (ataques, malware, etc). Pero fueron estas lecciones las que me proporcionaron los conocimientos necesarios para ser capaz de educar con medidas simples que alguien pueda usar en pocos minutos para hacer su página web más segura.
Cuando vayas leyendo todos los puntos, considéralos comp puntos de verificación en vez de una lista cualquiera. Si te pasa que uno, dos o los diez puntos no forman parte de tu arsenal de seguridad actual, deja de leer y empieza a implementar.
Vamos a motivarte: he llegado a ver entre 50,000 y 180,000 intentos de conexión no autorizados diarios en páginas web que gestiono. La gran mayoría de estos son piratas informáticos que utilizan técnicas de fuerza bruta para entrar en las páginas web y causar estragos. Es posible, incluso probable, que la mitad de los hackers de todo el mundo esté tratando de hackear tu wordpress en este mismo momento.
Mantén wordpress seguro…
… solo espero que tu contraseña no sea «password123».
Y ahora, vamos a por la lista de los 10 consejos para disfrutar de una instalación Wordpress segura:
#1 Escoge contraseñas fuertes y seguras
Empezamos la lista con el paso más fácil que puedes poner en práctica de inmediato. Espero que ya tengas este paso hecho, pero si no es así, no lo pospongas más y ponte al lío.
Las contraseñas que se emplean para autentificar un usuario sólo proporcionan un nivel muy básico de protección. Es un mecanismo débil, debido a que los usuarios que no dominamos los secretos de la informática no siempre elegimos las contraseñas adecuadas. Hay programas muy sofisticados, rápidos y efectivos para romper contraseñas, llamados password crackers, basados en distintos sistemas combinatorios; pero nosotros no debemos morir sin presentar batalla.
Lo mejor es ponerlo lo más difícil posible. Veamos cómo:
Palabras que estén fuera del diccionario: Hay sistemas de desciframiento basados en los diccionarios, por ello elegir como contraseña una palabra que esté en el diccionario no es una buena idea, aunque el término sea muy raro o esté en otro idioma. Por la misma razón, una palabra que empiece por las letras x ó z tiene menos posibilidades de descubrirse, porque esos programas funcionan alfabéticamente. Evita combinaciones que empiecen por las primeras letras.
Datos desconocidos: Es posible que la persona que quiere entrar en nuestros archivos nos conozca, por lo que el nombre de nuestra pareja o padre es una mala opción. Lo mismo pasa con las fechas de cumpleaños o nombres de mascotas. Si el atacante sabe que nos gusta Harry Potter, probará cualquier palabra asociada a él.
Preguntas relacionadas: Si olvidas tu contraseña, en algunos lugares te la envían tras responder a una pregunta relacionada que tú mismo has elegido previamente. Es mejor no usar nunca esta opción. Si tienes una pregunta muy fácil (¿cuál es mi libro preferido? ¿En qué lugar veraneo?), la cadena de seguridad se rompe por ahí, porque quizá en algún lugar de tu página web hayas incluido esa información.
Tamaño: Una buena contraseña debe tener al menos 10 caracteres. Lo ideal es usar el número máximo de caracteres que se nos permita en cada caso. El tamaño sí importa, porque cuantos más caracteres haya, más difícil es reventar la contraseña.
Complejidad: Lo mismo puede decirse de su grado de dificultad. Muchos ataques sólo combinan letras y números y no son eficaces contra combinaciones raras de signos. Es muy eficaz utilizar @, $, &, #, !, etc., en medio de nuestra contraseña.
Crea una contraseña difícil de descubrir: Elige una frase que te guste (UN TRISTE TIGRE, por ejemplo); elimina los espacios (UNTRISTETIGRE); sustituye letras por números o signos que recuerdes, por ejemplo: la E por un 3, la I por un 1, la T por # (UN#R1S#3#1GR3). Usa los primeros ocho o diez caracteres –todos los que puedas– y tendrás una contraseña excelente y muy segura. No olvides cambiarla con regularidad.
#2 Wordpress siempre actualizado
Las actualizaciones de WordPress no se desarrollan para ocupar espacio en los resultados de búsqueda de Google News. Son desarrolladas para corregir errores, introducir nuevas características y, lo más importante, parchear agujeros de seguridad.
¿Irá WordPress (o cualquier software) siempre un paso por delante de los hackers? Por supuesto que no. Todo lo contrario. En su mayor parte, al igual que con las pruebas de drogas para mejorar el rendimiento en los deportes, el software siempre va a ir varios pasos por detrás de los hackers. Esa es la realidad del mundo que vivimos, simplemente acéptala.
Pero cuando los principales agujeros de seguridad se conocen – y los parches están disponibles – no hay excusa para no implementarlos. Por lo tanto, no hay excusa para no estar al día con las actualizaciones de WordPress. Lo mismo ocurre con los plugins y las plantillas de wordpress.
Sé que hay gente que tiembla da vez que aparece una actualización de WordPress, por miedo a desconfigurar la plantilla o interrumpir la funcionalidad de un plugin (echo a medida normalmente). Mi respuesta a esto es simple: si tienes miedo por una simple actualización, entonces necesitas volver a evaluar la estrategia de plantillas y plugins de wordpress. La plantilla quedará mucho mucho más fea si un hacker inyecta un desagradable código encriptado en medio de una página.
Uno de los beneficios de invertir en una plantilla premium de WordPress es que los desarrolladores actualizan las plantillas instantáneamente cuando se publican actualizaciones de WordPress. De hecho… ¡Hay muchas probabilidades de que hayan participado en la misma actualización de WordPress! Así nunca tendrás que preocuparte por desconfigurar de tu plantilla de wordpress.
En lo que se refiere a los plugins, es por lo que es tan importante «vetar» ciertos plugins. Si un plugin no se actualiza con regularidad o no estás pagando por el soporte, entonces es muy probable que termine rompiéndose con la siguiente actualización de WordPress. Por lo tanto, es posible que quieras replantearte su uso
#3 Protege el acceso al panel de administración de Wordpress
¿Deberías cambiar el nombre del usuario «admin» que todas las instalaciones de WordPress ofrecen por defecto? Desde luego, de hecho como has podido llegar a leer hasta aquí y sigas con un «admin» en tu nombre de usuario.
Eso si, tampoco te vuelvas loco porque no es de las medidas de seguridad más importantes. Los hackers pueden encontrar los nombres de usuario con bastante facilidad en las publicaciones del blog y otros lugares.
Más importante que disfrazar el nombre de usuario para el administrador es asegurarse de que cada usuario de tu página web con acceso de administrador esté protegido por una contraseña segura (Estoy haciendo referencia de nuevo al punto #1).
Si realmente quieres proteger tu página web, puedes ir un paso más allá implementado Yubikey para iniciar sesión. De esta manera, incluso si alguien tiene la contraseña de un usuario con acceso de administrador, no podrá iniciar sesión sin poseer físicamente el Yubikey (que se usa fácilmente insertando un simple USB cuando es la hora de iniciar sesión).
Y no, no es una molestia… ¿Acaso tener la mente tranquila de ataques de hackers s malo?
#4 Protección contra ataques de fuerza bruta
¿Recuerdas la cifra que cité arriba? Vale la pena citarla una vez más: he llegado a ver entre 50,000 y 180,000 intentos de conexión no autorizados diarios en páginas web que gestiono. La página web que estás leyendo en este momento (IgnacioSantiago en caso de que mi web haya sido scrapeada) va por los 210 intentos de acceso no autorizados… cada hora.
Antes de que desaparezca la magnitud de ese número, tienes que saber que estás muy lejos de pelear contra estos intentos de hackers anónimos sin nombre:
- En primer lugar, tu proveedor de alojamiento web debe estar ayudándote a protegerte de ataques de fuerza bruta. Realmente lo que hacen es monitorizar regularmente de donde proceden los intentos fallidos de conexión y cerrar o banear las direcciones IP infractoras.
- En segundo lugar, asegúrate de haber leído los consejos #1, #2 y #3.
- En tercer lugar, hay plugins que se pueden instalar (por ejemplo Limit Login Attempts) que hará que sea mucho más difícil que las técnicas de fuerza fruta tengan éxito.
#5 Detectar y monitorizar el malware
Si tu página ha sido hackeada o crees que puede contener código sospechoso puedes acceder a Webmaster Tool de Google para obtener más información o comprobar el status de tu página web en este enlace, poniendo el nombre de dominio que quieras. Los resultados para mi página son los que aparecen en la siguiente captura.
Sigue los consejos que te indican desde WebMaster Tool, pero básicamente tendrás que “limpiar” todo tu site del código malware. Una vez lo hayas hecho notifica a Google de que tu site ha sido limpiado.
Es imprescindible que tengas algún tipo de sistema para monitorizar constantemente tu página web en busca de malware.
La gente de Sucuri hacer esto mejor que nadie, y por eso he trabajo con ellos para el análisis de los servidores de mis clientes.
Cómo monitorizar es de vital importancia. Elige un método que realmente pueda implementarse en la estructura de archivos y detectar agujeros de seguridad con cierta profundidad, en lugar de uno que sólo muestre dónde eres vulnerable.
#6 Solucionar el problema del malware
Monitorizar en busca de malware no es una solución en sí misma. La solución es lo que sucede una vez que se detecta el malware.
Dos de «los verdaderos costos» de una instalación de WordPress son los relacionados con el tiempo de inactividad debido a problemas de seguridad y la limpieza de esos problemas. Esto es la propuesta de valor que debería ser destacada en la oferta de tu proveedor de hosting.
En primer lugar, decirte que si tienes un backup lo restaures porque puede ser complicado o minucioso llegar a “limpiar” todos los archivos.
Tendrás que comprobar todos los archivos donde los permisos no estén asignados correctamente, es decir que los pueda editar cualquier usuario y es casi seguro que el código inyectado estará en todos ellos.
Busca al inicio o al final de los archivos por código que tu no has creado, cualquier código que te parezca sospechoso quítalo. En códigos basados en PHP suelen incluir una función eval() seguida de una base64_decode() y una cadena super larga de caracteres, que no es más que un código PHP codificado y que genera la creación de los iframes o el javascript que después redirecciona a otras páginas.
Puedes usar comandos de consola para buscar y reemplazar todo el código que hayas encontrado sospechoso, en el artículo que he comentado antes indico como hacerlo: Como eliminar el hack o malware de rr.nu de WordPress
También puedes leer este tutorial de Google.
#7 Elige el hosting correctamente
Un riesgo de seguridad importante es estar en un servidor compartido. Piénsalo de esta manera: toma los riesgos de seguridad inherentes en tu propia instalación de WordPress, y después multiplícalo por el número de páginas web que haya en el servidor. Y si tienes una alojamiento genérico, lo más probable es que estés agrupado con cientos y cientos de páginas web.
¡Ni se te ocurra!
Tener tu propio VPS puede que no sea la opción correcta. Puede que sea demasiado caro o que tu bajo tráfico no lo necesite. Hasta aquí vale. Pero si vas a estar en un servidor compartido, asegúrate de que sea compartido con un pequeño número de página web (no más de 10 sitios) en un sistema que haya demostrado ciertas medidas de seguridad para proteger las instalaciones.
Además, contrata un hosting que no se dé por satisfecho en lo que a la seguridad se refiere.
Cualquiera que afirme «tener controlada la seguridad» no tiene ni idea. La seguridad online está en constante cambio (igual que el algoritmo de google). Las empresas de alojamiento web deben evolucionar constantemente en este panorama cambiante, y las amenazas que vienen con él.
#8 Limpieza absoluta de la página web
¿Sabías que en tu instalación de WordPress puede haber bombas a punto de explotar y tu no ser consciente?
Si tienes plantillas o plugins de wordpress instalados que no estás utilizando o no vas a utilizar más, sobre todo si no se están actualizado, puedes comenzar la cuenta atrás para tu siguiente brecha de seguridad. Una página web desordenada también hace que sea mucho más difícil operar a los profesionales de la seguridad.
Piensa en tu cocina… ¿Dejarías platos sucios durante 3 días en el agua estancada del fregadero? ¿No verdad? Por supuesto que no. Sería un caldo de cultivo para la suciedad y la mugre.
Así que limpia y organiza la estructura de archivos como lo haría con tu cocina. Te mantendrá seguro en más de un sentido.
Seguramente te estés preguntando… «¿Por dónde empiezo?» Pues muy fácil: Empieza por el principio, por la raíz del problema. Compara tu lista de archivos con la que trae WordPress por defecto. ¿Has encontrado archivos adicionales como el favicon? Todo bien ¿Dos veces más de archivos, incluyendo presentaciones en Power Point para el trabajo? Es hora de hacer lavar algunos platos.
#9 Controlar la información sensible
Y cuando estés haciendo la limpieza de la estructura de archivos, asegúrate de que no te dejes trozos de información valiosa para que cualquiera la pueda ver.
Por ejemplo, el archivo readme.html por defecto dirá qué versión de WordPress se está ejecutando. Si está ejecutando una versión anterior de WordPress con un agujero de seguridad conocido, los hackers lo encontrarán y atacarán.
Del mismo modo, mira en tu phpinfo.php o archivos i.php. Le dirán a un hacker todo sobre tu configuración y sirven como una «hoja de ruta a la casa» antes de que incluso de que se «cuelen».
Dejar copias de seguridad de archivos de bases de datos SQL es un gigantesco error. Si un hacker puede descargar tu base de datos completa tendrá acceso a cada nombre de usuario y contraseña cifrada que hayas usado a su disposición.
Mientras que tu servicio de alojamiento debería explorar en busca de este tipo de elementos… ¿Por qué dejar nada al azar? No querrás salir por la puerta principal sin pantalones ¿no? asi que no gestiones tu página web de esa manera.
#10 Mantenerse alerta
Este punto es bastante fácil de explicar. En resumen es estar al tanto de lo que está pasando ahí fuera.
No es necesario que entiendas las complejidades de un ataque DDOS o escribir entradas del blog hablando sobre el último ataque que haya recibido un grande. Pero si que hay que estar vigilante y leer noticias del sector para detectar posibles brechas de seguridad y adelantarte al problema. La detección temprana es la mejor prevención.
Deberías estar con un hosting que te cubra la espalda, pero nunca está de más tener el tuyo propio también.
Sígueme en Twitter o visita las últimas noticias sobre marketing online y te tendré actualizado sobre cuestiones de seguridad que puedan afectar a la web. Recuerda: mantén los ojos bien abiertos. No creas que los problemas de seguridad sólo afectan a otras páginas web. Tu página web podría fácilmente estar afectada.
Tienes la última palabra… ¿Alguna otra sugerencia de seguridad de WordPress que conozcas? No te olvides comentar y compartir si te ha gustado el artículo.
¿Te ha gustado el contenido?
Puntuación media 5 / 5. Votos: 1
¡Todavía no hay votos! Sé el primero en valorar el contenido.
Soy muchas cosas, pero todo empezó como blogger hace más de 20 años. Desde ahí he ido ido creciendo como persona y profesional hasta que decidí dejar un buen trabajo, emprender por mi cuenta y poner en marcha mi propia agencia de marketing digital. Ahora, junto con un equipo joven, motivado y muy cualificado, ayudo a profesionales y empresas a crear y hacer crecer su negocio en Internet ofreciendo un servicio de marketing digital atento, cercano, integral y profesional.
Únete a más de 50.000 personas que, aparte de recibir los primeros todas las actualizaciones del blog e importantes descuentos en herramientas, tienen acceso gratuito a todos nuestros contenidos.
Únete a más de 50.000 personas que, aparte de recibir los primeros todas las actualizaciones del blog e importantes descuentos en herramientas, tienen acceso gratuito a todos nuestros contenidos.