12

Refuerza la seguridad en WordPress (1)

Seguridad web

 

Hay muchísima gente en todo el mundo que usa WordPress para gestionar el contenido de su sitio. ¿Por qué? Uno de los principales motivos es que es software libre. Es su mayor virtud, pero también puede ser su peor defecto. Ten en cuenta que, al tratarse de código abierto, está indefenso ante todo el que quiera analizarlo para explotar vulnerabilidades en él. En este post, te damos 5 trucos para mejorar tu seguridad en WordPress.

 

Como consecuencia, los sitios de WordPress han sido siempre un poco como cebo para tiburones. Sabemos que un hackeo puede dañar la reputación y la actividad de una empresa y que es un auténtico fastidio para los particulares. Por eso, vamos a darte algunas indicaciones para blindar al máximo tu aplicación y reducir las posibilidades de hackeo al mínimo.

 

Antes de empezar a hacer cambios manuales en el código (ya seas novato o experto), lo mejor es que realices un backup para poder probarlos en una instalación de WordPress de mentirijillas. Así podrás implementarlos solamente cuando estés seguro de que funcionan correctamente. ¡No tienes por qué poner en riesgo el funcionamiento de tu sitio! Por cierto, para editar los ficheros como te vamos a ir indicando, puedes hacerlo a través de FTP o bien haciendo uso del administrador de archivos de cPanel.

 

Vamos allá.

#0 – Cambia el prefijo durante la instalación manual

Nosotros ponemos a disposición de nuestros clientes la herramienta Fantastico en el panel de control de su hosting web, para que la instalación de un WordPress sea muy sencilla y rápida. Sin embargo, si no te molesta realizar la instalación de manera manual, hay un paso que puedes dar para añadir un pequeño extra de seguridad: cambiar el prefijo predeterminado de las tablas (wp_) por uno distinto.

 

Cuando subas los archivos para instalar WordPress en tu servidor y los ejecutes, podrás establecer directamente en una misma pantalla el nombre de usuario, la contraseña, el nombre de la base de datos y el prefijo para las tablas. ¡Esta es la forma más fácil!

#1 – Actualiza de forma periódica

Las actualizaciones de WordPress no son opcionales. Es muy importante que estés atento a cuando la aplicación te avise de que hay una versión nueva, ya que a menudo resuelven vulnerabilidades y, además, le complicarás la vida al hacker que ya ha encontrado todos los agujeros de la versión antigua: ¡tendrá que volver a empezar!

 

Revisa también los plugins y las plantillas, porque también se mejoran con el tiempo. Si ves que hace mucho tiempo que no se actualiza alguno de ellos, es mejor que busques alternativas. A todo esto, ¿tienes plantillas o plugins inactivos? Tendrán agujeros que los hackers podrán aprovechar para hacerte daño. Elimina todo lo que no estés utilizando y quédate solo con lo que necesitas: es una medida muy sencilla, pero muchísima gente se olvida de borrar después de desactivar.

#2 – Cambia el usuario predeterminado

Lo primero que van a intentar para entrar en tu WordPress es introducir el usuario predeterminado, que es “admin”. Si no te tomas la molestia de cambiarlo, les habrás hecho la mitad del trabajo: solamente les faltará la contraseña. ¡Es un cambio muy sencillo! Crea un usuario nuevo al que proporcionar privilegios de administrador, borra el usuario “admin” y, cuando WordPress te pregunte qué debe hacer con los post y enlaces que pertenecen a ese usuario predeterminado, marca la opción “Attribute all posts and links to:” y elige el nuevo usuario.

#3 – Borra la versión de WordPress de la sección wp_head

La sección wp_head especifica la versión de WordPress que has instalado. ¿Por qué debes borrarla? Porque es información que no necesita ser pública y que puede ser utilizada por algún gamberro para saber la vulnerabilidad exacta para atacarte. Para eliminar esta información, ve al archivo header.php y borra esta metaetiqueta:

<meta name=”generator” content=”WordPress <?php bloginfo(‘version’); ?>” />

  

#4 – Desactiva el editor de plantillas

Si te hackean los datos de acceso a WordPress (el nombre de usuario y la contraseña), podrán entrar en los archivos de las plantillas para insertar código malicioso, cambiar los permisos, subir más archivos, etc. Si desactivas el editor de texto (siempre después de dar el paso #3) que viene por defecto para plantillas, no podrán modificar sus códigos de ninguna manera.

 

Para hacerlo, ve a la carpeta en la que has instalado el WordPress y busca un archivo llamado wp-config.php. Tienes que añadirle este código para que ya no se puedan editar los archivos desde el panel de administración:

/* desactivar editor de plantillas */

define( ‘DISALLOW_FILE_EDIT’, true );

  

#5 – Protege la carpeta wp-admin con contraseña

Esta medida impedirá que puedan explotar cualquier vulnerabilidad de WordPress que pueda existir en esta carpeta. Es decir, aunque un hacker averigüe los datos de acceso a la aplicación, tendrá que pasar por encima de esta otra medida de seguridad, que es a nivel de servidor, y no podrán acceder al administrador si no lo consiguen.

 

Para proteger wp-admin con contraseña, ve a tu panel de control cPanel y haz clic en el icono “Directorios protegidos con contraseña”. Elige la carpeta wp-admin haciendo clic sobre ella y, a continuación, configura los usuarios a los que quieres autorizar y, finalmente, define un nombre de usuario y una contraseña. Et voilà!

 

Existe la posibilidad (poco común) de que, si tienes un plugin instalado que hace llamadas a wp-admin, a una visita que intente cargar un fichero situado en esta carpeta se le pidan el nombre de usuario y la contraseña. Si se da esta circunstancia, lo mejor es buscar otro plugin o, en último caso, desproteger la carpeta para no molestar a las visitas. Ya te decimos que no ocurre a menudo, pero puede pasar.

En resumen

Estos son los primeros 5 consejos de una serie que seguiremos completando. Vamos a dejarlo aquí por hoy para que puedas ir probando cosas nuevas sin saturarte mucho. ¿Ya sabías todo esto sobre la seguridad en WordPress o te hemos descubierto algo nuevo? Sea como sea, no dudes en dejar un comentario o en buscarnos en Twitter o en Facebook.

Host Europe

Host Europe

Host Europe es más que un proveedor de hosting y dominios. Nos ganamos tu confianza día a día gracias a años de experiencia y el mejor servicio.

More Posts

Comentarios sobre "Refuerza la seguridad en WordPress (1)"

  1. Francisco

    Muchas gracias por todas las recomendaciones, me parecen muy útiles, aunque no he sido capaz de ejecutar alguna de ellas, supongo que por hacer algo de forma incorrecta.
    Si que os agradecería y nos vendría bien a muchos que nos pudiéseis enseñar a cambiar el prefijo de la tabla una vez instalado WordPress, o si tenéis a vuestro alcance algún link en el que se enseñe como hacerlo de forma correcta.

    Un cordial saludo para todo vuestro equipo.

    Responder
    1. Andrea BarreiroAndrea Barreiro

      Francisco, nos alegramos de que te haya parecido útil. El cambio del prefijo una vez ya está instalado el WordPress, como seguramente ya sabes, puede ser delicado. Tomamos nota de tu sugerencia para escribir un post describiendo el proceso muy pronto. ¡Gracias por comentar!

      Responder
  2. Ismael Rodríguez

    Gracias por compartir, Andrea.

    Puntos #1 y #2, imprescindibles.
    Los puntos #0 y #3, se pueden hacer cómodamente con algún plugin de seguridad (AIO WordPress Security & Firewall, por ejemplo).
    El punto #4, no lo aplico porque suelo meter mano con frecuencia, sobre todo al principio. A veces prefiero editar algo rápido, en lugar de meterme con las traducciones en Poedit… ¿Soy el único que hace esto?
    El punto #5, estaría bien poder hacerlo, pero no lo aplico porque me quedo sin acceso al escritorio de WordPress, me arroja un 404. ¿Se puede evitar esto?

    ¡Un saludo!

    Responder
    1. Andrea BarreiroAndrea Barreiro

      ¡Hola, Ismael! Gracias a ti por tu comentario :-) Sobre el punto #5, sí se puede evitar ese 404, de hecho muchísima gente utiliza esta medida sin problemas. Habría que ver qué está pasando en tu caso pero seguramente tenga que ver con las reglas del .htaccess.
      Tiene pinta de ser algo sencillo de solucionar, ¿eres cliente nuestro? Porque si es así puedes mandarnos un correo a soporte@hosteurope.es y lo miramos. Si eres cliente de otro hoster, tampoco creo que tengan problema en ayudarte :-)

      Responder
  3. Joaquín

    Muy buen artículo,
    yo añadiría el plantear la instalación de algun plugin para aumentar la seguridad. Principalmente alguno que bloqueé la IP cuando se realicen varios intentos de acceso al panel de administración.

    Responder

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *