Son muchos los días en los que nos encontramos noticias en los que alguna página web importante ha sido hackeada o alguna base de datos con datos sensibles ha sido comprometida, y el resultado es mucho miedo. La semana pasada, preparando una presentación para un proyecto de consultoría de WordPress, di con una lista de 10 consejos para mantener una página web wordPress segura.

Ya hab√≠a hablado de como mantener la¬†seguridad de WordPress¬†a raya en mi¬†blog de marketing online antes, pero con los tiempo que corren nunca podemos estar¬†lo suficientemente tranquilos¬†¬Ņno?.¬†Vale la pena dedicar¬†tiempo a¬†revisar esta lista de consejos de seguridad¬†y que tomar¬†las acciones necesarias para ponerlas en pr√°ctica ¬ŅEs tu p√°gina web segura? Vamos a empezar por¬†lo b√°sico:

Tómate en serio la seguridad de WordPress

¬ŅPor qu√© este art√≠culo sobre seguridad de WordPress? Pues muy f√°cil: Permanecer vigilante sobre la seguridad es una responsabilidad continua y cr√≠tica para cualquier propietario de una instalaci√≥n WordPress.¬†Realmente es una responsabilidad para todo el mundo que est√© online, utilizes WordPress o no.

Así que seguiremos discutiendo temas sobre seguridad que van a ser tan importantes, o más, que el rendimiento (que también lo es). Tener tiempos de carga óptimos es una muy buena noticia, pero no si eres el anfitrión de enlaces ocultos a páginas web de Viagra o Google marca tu página como malware.

Soy consciente de que la seguridad puede ser un tema obtuso y difícil de comprender en ocasiones. Si no tienes un perfil técnico, los riesgos y garantías necesarias pueden ser difíciles de comprender.

No te preocupes, no estas solo, aquí es donde entro yo para ayudarte.

El a√Īo que lanc√© mi primer wordpress, hace ya¬†12¬†a√Īos, no sab√≠a¬†la diferencia entre DDOS y el jugador de rugby Mike Doss. Era de los que usaba¬†la misma contrase√Īa para mi acceso de administrador… para¬†mi cuenta de Gmail… para¬†mi cuenta bancaria… creo que se ha entendido¬†la idea ¬Ņverdad?.

Con el tiempo aprendí la importancia de tomarme muy en serio la seguridad de wordpress. Algunas de las lecciones que me ha dado la vida no han sido agradables (ataques, malware, etc). Pero fueron estas lecciones las que me proporcionaron los conocimientos necesarios para ser capaz de educar con medidas simples que alguien pueda usar en pocos minutos para hacer su página web más segura.

Cuando vayas leyendo todos los puntos, considéralos comp puntos de verificación en vez de una lista cualquiera. Si te pasa que uno, dos o los diez puntos no forman parte de tu arsenal de seguridad actual, deja de leer y empieza a implementar.

Vamos a motivarte: he llegado a ver entre 50,000 y 180,000 intentos de conexión no autorizados diarios en páginas web que gestiono. La gran mayoría de estos son piratas informáticos que utilizan técnicas de fuerza bruta para entrar en las páginas web y causar estragos. Es posible, incluso probable, que la mitad de los hackers de todo el mundo esté tratando de hackear tu wordpress en este mismo momento.

Mant√©n wordpress seguro…

… solo espero que tu contrase√Īa no sea¬†“password123”.

Y ahora, vamos a por la lista de los 10 consejos para disfrutar de una instalación WordPress segura:

#1 Escoge¬†contrase√Īas fuertes y seguras

Empezamos la lista con el paso más fácil que puedes poner en práctica de inmediato. Espero que ya tengas este paso hecho, pero si no es así, no lo pospongas más y ponte al lío.

Las contrase√Īas que se emplean para autentificar un usuario s√≥lo proporcionan un nivel muy b√°sico de protecci√≥n. Es un mecanismo d√©bil, debido a que los usuarios que no dominamos los secretos de la inform√°tica no siempre elegimos las contrase√Īas adecuadas. Hay programas muy sofisticados, r√°pidos y efectivos para romper contrase√Īas, llamados password crackers, basados en distintos sistemas combinatorios; pero nosotros no debemos morir sin presentar batalla.

Lo mejor es ponerlo lo más difícil posible. Veamos cómo:

Palabras que est√©n fuera del diccionario: Hay sistemas de desciframiento basados en los diccionarios, por ello elegir como contrase√Īa una palabra que est√© en el diccionario no es una buena idea, aunque el t√©rmino sea muy raro o est√© en otro idioma. Por la misma raz√≥n, una palabra que empiece por las letras x √≥ z tiene menos posibilidades de descubrirse, porque esos programas funcionan alfab√©ticamente. Evita combinaciones que empiecen por las primeras letras.

Datos desconocidos: Es posible que la persona que quiere entrar en nuestros archivos nos conozca, por lo que el nombre de nuestra pareja o padre es una mala opci√≥n. Lo mismo pasa con las fechas de cumplea√Īos o nombres de mascotas. Si el atacante sabe que nos gusta Harry Potter, probar√° cualquier palabra asociada a √©l.

Preguntas relacionadas: Si olvidas tu contrase√Īa, en algunos lugares te la env√≠an tras responder a una pregunta relacionada que t√ļ mismo has elegido previamente. Es mejor no usar nunca esta opci√≥n. Si tienes una pregunta muy f√°cil (¬Ņcu√°l es mi libro preferido? ¬ŅEn qu√© lugar veraneo?), la cadena de seguridad se rompe por ah√≠, porque quiz√° en alg√ļn lugar de tu p√°gina web hayas incluido esa informaci√≥n.

Tama√Īo: Una buena contrase√Īa debe tener al menos 10¬†caracteres. Lo ideal es usar el n√ļmero m√°ximo de caracteres que se nos permita en cada caso. El tama√Īo s√≠ importa, porque cuantos m√°s caracteres haya, m√°s dif√≠cil es reventar la contrase√Īa.

Complejidad: Lo mismo puede decirse de su grado de dificultad. Muchos ataques s√≥lo combinan letras y n√ļmeros y no son eficaces contra combinaciones raras de signos. Es muy eficaz utilizar @, $, &, #, !, etc., en medio de nuestra contrase√Īa.

Crea una contrase√Īa dif√≠cil de descubrir: Elige una frase que te guste (UN TRISTE TIGRE, por ejemplo); elimina los espacios (UNTRISTETIGRE); sustituye letras por n√ļmeros o signos que recuerdes, por ejemplo: la E por un 3, la I por un 1, la T por # (UN#R1S#3#1GR3). Usa los primeros ocho o diez caracteres ‚Äďtodos los que puedas‚Äď y tendr√°s una contrase√Īa excelente y muy segura. No olvides cambiarla con regularidad.

#2 Wordpress siempre actualizado

Las actualizaciones de WordPress no se desarrollan para ocupar espacio en los¬†resultados de b√ļsqueda de Google News. Son desarrolladas para corregir errores, introducir nuevas caracter√≠sticas y, lo m√°s importante, parchear agujeros de seguridad.

¬ŅIr√°¬†WordPress (o cualquier software) siempre un paso por delante de los hackers? Por supuesto que no. Todo lo contrario. En su mayor parte, al igual que con las pruebas de drogas para mejorar el rendimiento en los deportes, el software siempre va a ir varios¬†pasos por detr√°s de los hackers. Esa es la realidad del mundo que vivimos, simplemente ac√©ptala.

Pero cuando los principales agujeros de seguridad  se conocen Рy los parches están disponibles Рno hay excusa para no implementarlos. Por lo tanto, no hay excusa para no estar al día con las actualizaciones de WordPress. Lo mismo ocurre con los plugins y las plantillas de wordpress.

Sé que hay gente que tiembla da vez que aparece una actualización de WordPress, por miedo a desconfigurar la plantilla o interrumpir la funcionalidad de un plugin (echo a medida normalmente). Mi respuesta a esto es simple: si tienes miedo por una simple actualización, entonces necesitas volver a evaluar la estrategia de plantillas y plugins de wordpress. La plantilla quedará mucho mucho más fea si un hacker inyecta un desagradable código encriptado en medio de una página.

Uno de los beneficios de invertir en una¬†plantilla premium de¬†WordPress¬†es que los desarrolladores¬†actualizan las plantillas instant√°neamente cuando se publican¬†actualizaciones de WordPress. De hecho… ¬°Hay muchas probabilidades de que hayan participado¬†en la misma actualizaci√≥n de WordPress! As√≠ nunca tendr√°s que preocuparte por desconfigurar de tu plantilla de wordpress.

En lo que se refiere a los plugins, es por lo que es tan importante “vetar” ciertos plugins. Si un plugin no se actualiza con regularidad o no est√°s pagando por el soporte, entonces es muy probable que termine rompi√©ndose con la siguiente¬†actualizaci√≥n de WordPress. Por lo tanto, es posible que quieras replantearte su uso

#3 Protege el acceso al panel de administración de WordPress

¬ŅDeber√≠as¬†cambiar el nombre del usuario “admin” que todas las¬†instalaciones de WordPress ofrecen por defecto? Desde luego, de hecho¬†como has podido llegar a leer hasta aqu√≠ y sigas con un “admin” en tu nombre de usuario.

Eso si, tampoco te vuelvas loco porque no es de las medidas de seguridad más importantes. Los hackers pueden encontrar los nombres de usuario con bastante facilidad en las publicaciones del blog y otros lugares.

M√°s importante que disfrazar el nombre de usuario para el administrador¬†es asegurarse de que cada usuario de tu p√°gina web¬†con acceso de administrador est√© protegido por una contrase√Īa segura¬†(Estoy haciendo referencia de nuevo al punto #1).

Si realmente quieres proteger tu p√°gina web, puedes ir un paso m√°s all√° implementado Yubikey para iniciar sesi√≥n. De esta manera, incluso si alguien tiene la contrase√Īa de un usuario con acceso de administrador, no podr√°¬†iniciar sesi√≥n sin poseer f√≠sicamente el Yubikey (que se usa f√°cilmente insertando un simple USB cuando es la hora de iniciar¬†sesi√≥n).

Y no, no es una molestia… ¬ŅAcaso tener la mente tranquila de ataques de hackers s malo?

#4 Protección contra ataques de fuerza bruta

¬ŅRecuerdas la cifra que cit√© arriba? Vale la pena citarla una vez m√°s:¬†he llegado a ver¬†entre 50,000 y 180,000 intentos de conexi√≥n no autorizados diarios en p√°ginas web que gestiono. La p√°gina web¬†que est√°s leyendo en este momento (IgnacioSantiago en caso de que mi web haya sido scrapeada) va por los¬†210¬†intentos de acceso no autorizados… cada hora.

Antes de que desaparezca la magnitud de¬†ese n√ļmero, tienes que saber¬†que est√°s muy lejos de pelear¬†contra estos intentos de hackers an√≥nimos sin nombre:

  1. En primer lugar, tu proveedor de alojamiento web debe estar ayudándote a protegerte de ataques de fuerza bruta. Realmente lo que hacen es monitorizar regularmente de donde proceden los intentos fallidos de conexión y cerrar o banear las direcciones IP infractoras.
  2. En segundo lugar, aseg√ļrate de¬†haber le√≠do los¬†consejos #1, #2 y #3.
  3. En tercer lugar, hay plugins que se pueden instalar (por ejemplo Limit Login Attempts) que hará que sea mucho más difícil que las técnicas de fuerza fruta tengan éxito.

#5 Detectar y monitorizar el malware

Si tu página ha sido hackeada o crees que puede contener código sospechoso puedes acceder a Webmaster Tool de Google para obtener más información o comprobar el status de tu página web en este enlace, poniendo el nombre de dominio que quieras. Los resultados para mi página son los que aparecen en la siguiente captura.

consejos pagina web wordpress segura

Sigue los consejos que te indican desde WebMaster Tool, pero b√°sicamente tendr√°s que ‚Äúlimpiar‚ÄĚ todo tu site del c√≥digo malware. Una vez lo hayas hecho notifica a Google de que tu site ha sido limpiado.

Es imprescindible que tengas¬†alg√ļn tipo de sistema para monitorizar constantemente tu p√°gina web¬†en busca de malware.

La gente de Sucuri hacer esto mejor que nadie, y por eso he trabajo con ellos para el an√°lisis de los servidores de mis clientes.

Cómo monitorizar es de vital importancia. Elige un método que realmente pueda implementarse en la estructura de archivos y detectar agujeros de seguridad con cierta profundidad, en lugar de uno que sólo muestre dónde eres vulnerable.

#6 Solucionar el problema del malware

Monitorizar en busca de malware no es una solución en sí misma. La solución es lo que sucede una vez que se detecta el malware.

Dos de “los verdaderos costos” de una¬†instalaci√≥n¬†de WordPress son los relacionados con el tiempo de inactividad debido a problemas de seguridad y la¬†limpieza de esos problemas. Esto es la propuesta de valor que deber√≠a ser destacada en la oferta¬†de tu proveedor de hosting.

En primer lugar, decirte que si tienes un backup lo restaures porque puede ser complicado o minucioso llegar a ‚Äúlimpiar‚ÄĚ todos los archivos.

Tendrás que comprobar todos los archivos donde los permisos no estén asignados correctamente, es decir que los pueda editar cualquier usuario y es casi seguro que el código inyectado estará en todos ellos.

Busca al inicio o al final de los archivos por código que tu no has creado, cualquier código que te parezca sospechoso quítalo. En códigos basados en PHP suelen incluir una función eval() seguida de una base64_decode() y una cadena super larga de caracteres, que no es más que un código PHP codificado y que genera la creación de los iframes o el javascript que después redirecciona a otras páginas.

Puedes usar comandos de consola para buscar y reemplazar todo el código que hayas encontrado sospechoso, en el artículo que he comentado antes indico como hacerlo: Como eliminar el hack o malware de rr.nu de WordPress

También puedes leer este tutorial de Google.

#7 Elige el hosting correctamente

Un riesgo de seguridad importante es estar en un servidor compartido. Pi√©nsalo de esta manera: toma los riesgos de seguridad inherentes en tu propia instalaci√≥n de WordPress, y despu√©s¬†multipl√≠calo por el n√ļmero de p√°ginas web que haya¬†en el servidor. Y si tienes una¬†alojamiento gen√©rico, lo m√°s probable es que est√©s¬†agrupado con cientos y cientos de p√°ginas web.

¬°Ni se te ocurra!

Tener tu¬†propio VPS puede que no sea la opci√≥n correcta. Puede que sea demasiado caro o que tu bajo tr√°fico no lo necesite. Hasta aqu√≠ vale. Pero si vas a estar en un servidor compartido, aseg√ļrate de que¬†sea¬†compartido con un peque√Īo n√ļmero de p√°gina web¬†(no m√°s de 10 sitios) en un sistema que¬†haya demostrado ciertas¬†medidas de seguridad para proteger las instalaciones.

Además, contrata un hosting que no se dé por satisfecho en lo que a la seguridad se refiere.

Cualquiera que afirme “tener controlada la seguridad” no tiene ni idea. La seguridad online est√° en constante cambio (igual que el algoritmo de google). Las empresas de alojamiento web deben evolucionar constantemente en este¬†panorama cambiante, y las amenazas que¬†vienen con √©l.

#8 Limpieza absoluta de la página web

¬ŅSab√≠as que en tu instalaci√≥n de WordPress puede¬†haber bombas a punto de explotar y tu¬†no ser¬†consciente?

Si tienes plantillas o plugins de wordpress instalados que no estás utilizando o no vas a utilizar más, sobre todo si no se están actualizado, puedes comenzar la cuenta atrás para tu siguiente brecha de seguridad. Una página web desordenada también hace que sea mucho más difícil operar a los profesionales de la seguridad.

Piensa en tu cocina… ¬ŅDejar√≠as platos sucios durante 3 d√≠as en el agua estancada del fregadero? ¬ŅNo verdad? Por supuesto que no. Ser√≠a un caldo de cultivo para la suciedad y la mugre.

Así que limpia y organiza la estructura de archivos como lo haría con tu cocina. Te mantendrá seguro en más de un sentido.

Seguramente te est√©s¬†preguntando… “¬ŅPor d√≥nde empiezo?” Pues muy f√°cil: Empieza por el principio, por la ra√≠z del problema. Compara tu lista de archivos con la que trae¬†WordPress por defecto. ¬ŅHas encontrado¬†archivos adicionales como el favicon? Todo bien¬†¬ŅDos veces m√°s de archivos, incluyendo presentaciones en Power Point para el trabajo? Es hora de hacer lavar algunos platos.

#9 Controlar la información sensible

Y cuando est√©s haciendo la limpieza de la estructura de archivos, aseg√ļrate de que no te dejes trozos de informaci√≥n valiosa para que cualquiera¬†la pueda ver.

Por ejemplo, el archivo readme.html por defecto dirá qué versión de WordPress se está ejecutando. Si está ejecutando una versión anterior de WordPress con un agujero de seguridad conocido, los hackers lo encontrarán y atacarán.

Del mismo modo, mira en tu phpinfo.php o archivos i.php. Le¬†dir√°n a¬†un hacker todo sobre tu configuraci√≥n y sirven como una “hoja de ruta a la casa” antes de que incluso de que se “cuelen”.

Dejar copias de seguridad de archivos de bases de datos SQL es un gigantesco error. Si un hacker puede descargar tu base de datos completa tendr√° acceso a cada nombre de usuario y contrase√Īa cifrada que hayas usado a su disposici√≥n.

Mientras que tu servicio de alojamiento deber√≠a explorar en busca de este tipo de elementos… ¬ŅPor qu√© dejar nada al azar? No querr√°s salir por la puerta principal sin pantalones ¬Ņno? asi¬†que no gestiones tu p√°gina web de esa manera.

#10 Mantenerse alerta

Este punto es bastante fácil de explicar. En resumen es estar al tanto de lo que está pasando ahí fuera.

No es necesario que¬†entiendas las complejidades de un ataque DDOS o escribir entradas del blog hablando sobre el √ļltimo ataque que haya recibido un grande. Pero si que hay que estar vigilante y leer noticias del sector para detectar¬†posibles brechas de seguridad y adelantarte al problema.¬†La detecci√≥n temprana es la mejor prevenci√≥n.

Deberías estar con un hosting que te cubra la espalda, pero nunca está de más tener el tuyo propio también.

S√≠gueme en¬†Twitter o visita las √ļltimas noticias sobre marketing online y te tendr√© actualizado¬†sobre¬†cuestiones de seguridad que puedan afectar a la web. Recuerda: mant√©n los ojos bien abiertos. No creas que los problemas de seguridad s√≥lo afectan a otras p√°ginas web. Tu p√°gina web podr√≠a f√°cilmente estar afectada.

Tienes la √ļltima palabra… ¬ŅAlguna otra sugerencia de seguridad de WordPress que conozcas? No te olvides comentar y compartir si te ha gustado el art√≠culo.

El autor de esta entrada es "Ignacio Santiago"
Soy muchas cosas, pero todo empez√≥ como Blogger. Desde ah√≠ he crecido como especialista en Marketing Online, aunque con mucha experiencia en Dise√Īo Web, Blogging, SEO y WordPress. Ayudo a emprendedores y peque√Īas empresas a crear, mejorar y potenciar su presencia y visibilidad en Internet, con un branding fuerte, que inspire confianza y que genere ventas.
¬°Es tu turno! Deja tu comentario y opina