Seguridad en wordpress. Creativia Marketing, Madrid y Toledo

Seguridad en wordpress

WordPress se ha convertido sin duda en el gestor de contenidos más utilizado del mundo. Es un CMS fácil de usar, muy configurable, existen multitud de plantillas y plugins para personalizarlo a las necesidades de cada proyecto y existe una gran comunidad donde poder resolver cualquier problema.

El ser el CMS más popular también te convierte en el primer objetivo de hackers. Así que si no quieres levantarte un día y ver cómo has perdido todo el trabajo realizado en la web o blog… sigue estos sencillos consejos:

1.- Tener el wordpress actualizado a la última versión. Esto te garantiza que las vulnerabilidades encontradas en versiones anteriores se hayan arreglado. Hay que tener cuidado con estas actualizaciones, ya que si estás utilizando plugins debes estar seguro que éstos son compatibles con la última versión.

2.- Instalar solo plugins y temas seguros. Evitar plugins y temas de terceros que no estén en el repositorio oficial o en tiendas reconocidas.

3.- Instalar un plugin de seguridad. Existen muchos plugins de seguridad, unos muy buenos, otro no tanto, que nos ayudan a proteger nuestra web con unos simples clicks. Yo en este caso os voy a hablar de uno de los más utilizados y que cuenta con una versión gratuita bastante completa:

Seguridad wordpress

Antes conocido como Better WP Security y ahora renombrado a iThemes Security es uno de los plugin de seguridad más instalados en wordpress (junto con Wordfence Security) y de los más sencillos de configurar, ya que podrás proteger tu web en apenas 5 minutos.

Configura la Seguridad en WordPress con iTheme Security

Una vez lo tengamos instalado y activado, nos saldrá un aviso para que empecemos a proteger el wordpress

alerta-itheme

Le hacemos caso y hacemos click en ‘Secure Your Site Now’. Ahora nos salta una ventana con los primeros pasos importantes a realizar, asi que le seguimos haciendo caso y hacemos click en ‘Make a backup’ (hacer copia de seguridad), click en ‘Allow File Updates’ (le permitimos escribir en los archivos de wordpress), click en ‘Secure Your Site’ (habilitamos la configuración por defecto) y el último paso (Yes, I’d like to help) lo dejo a vuestra elección, si lo activamos damos permiso al plugin para enviar información anónima para que analicen y vayan mejorando el plugin. Una vez seleccionados los pasos que hayamos elegido hacemos click en ‘Dismiss’.

Una vez hecho esto se nos muestra la página general de configuración del plugin, dónde lo primero que debemos hacer es hacer click en ‘Temporarily Whitelist my IP’ para que incluya nuestra IP en una lista segura y no pueda ser bloqueada.

Más abajo, en ‘Security Status’ tenemos un resumen de los item según su prioridad que podemos activar para lograr una mayor seguridad. Cada item viene con un pequeño resumen de qué conseguimos al activarlo y un botón ‘Fix it’ para llevarlo a cabo. Al pulsar en cada botón, nos llevará a la configuración de cada item donde podremos elegir las diferentes opciones.

items-itheme-security

Como es lógico debemos centrarnos primero en los items de ‘High Priority’ (Alta prioridad) para proteger nuestro wordpress. En nuestro caso sólo aparecen dos items de alta prioridad, pero dependiendo de cómo hayas realizado la instalación puede aparecer alguno más.

– Your site is not performing any scheduled database backup: Nuestro wordpress no está haciendo ninguna copia de seguridad de la base de datos. Para solucionar este problema hacemos click en Fix it y se nos abre la página de configuración de este item. Simplemente debemos marcar ‘Enable Scheduled Database Backups’, elegir el intervalo de días y salvar los cambios. Se puede configurar que la copia se envíe por email (por defecto), que lo salve en el servidor, o que haga las dos cosas, podemos elegir el directorio donde guardará las copias de seguridad y el número de copias que queremos guardar (en 0 guarda todas las copias).

Malware scanning is not enabled: Marcamos ‘Enable malware scanning’ y nos pide una API Key de ‘VirusTotal’. Entramos en la web de VirusTotal, damos a ‘Únete a la comunidad’, nos registramos y recibiremos un email de confirmación. Una vez activada nuestra cuenta podremos entrar en nuestro perfil y copiar la API Key para pegarla en nuestra configuración de iTheme Security.

api-key-virustotal

Con estos sencillos pasos nuestra web ya tiene todos los items de alta prioridad solucionados, pero como dije, dependiendo de cómo hayas hecho la instalación puede que aparezca alguno más como por ejemplo ‘The admin user still exists’. Este item te aparecerá si al hacer la instalación de wordpress utilizaste el usuario admin (por defecto). Si este es tu caso, tan fácil como darle a Fix it, marcamos ‘Enable Change Admin User’, elegimos el nuevo nombre de usuario y seleccionamos que no utilice el ID 1. Solucionado!

Una vez ‘limpiado’ la lista de items en alta prioridad, nuestro wordpress es un poco más seguro. Ahora para terminar de protegerlo vamos a ir a la pestaña ‘Settings’ donde tenemos todas las opciones de configuración, tanto las de alta prioridad que ya hemos solucionado, como las de media y baja.

Global Settings: Ajustes globales del plugin. En principio no hay que tocar nada.

404 Detection: Si algún usuario recibe muchos errores 404 (páginas inexistentes) puede ser debido a que está escaneando nuestra web para encontrar posibles vulnerabilidades. Si activamos esta función podremos banear a estos usuarios. Podemos configurar el número de errores 404 y en qué tiempo ocurren.

Away mode: Puedes poner un horario para acceder a la administración de wordpress. Si no tienes un horario muy estricto no te aconsejo activarlo.

Banned Users: Puedes prohibir el acceso a IP’s, grupos de IP’s y User Agents. Aquí si no queremos bloquear alguna IP concreta, recomiendo activar ‘Enable HackRepair.com’s blacklist feature’ para utilizar la lista negra de IP’s de HackRepair.

Brute Force Protection: Uno de los métodos utilizados para conseguir una contraseña es a ‘fuerza bruta’, es decir, probar y probar contraseñas hasta dar con la correcta. Podemos configurar en número de ‘pruebas’ permitidas, así como bloquear a quien intente loguearse con el usuario admin.

Database Backups: Ya lo configuramos anteriormente ya que este era un item prioritario.

File Change Detection: Comprueba si algún archivo de nuestra instalación de wordpress ha sido modificado. Conviene activarlo y el resto lo dejamos por defecto.

Hide Login Area: Por defecto el acceso al panel de administración de wordpress es /wp-admin, con esta opción podemos cambiarlo por el que queramos. Recomendable si queremos poner las cosas un poco más difícil a los ‘malos’.

Malware Scanning: Ya lo tenemos configurado!

Secure Socket Layers (SSL): Puedes activar la encriptación SSL para tu wordpress. Si decides activarlo debes estar seguro que tu sitio web lo soporta o lo bloquearás.

Strong Paswordss: Nos obliga que al crear nuevos usuarios estos tengan una contraseña fuerte.

System Tweaks: Ofrece diferentes opciones para mejorar la seguridad de nuestro wordpress. Podemos activar todos.

WordPress Tweaks: Ajustes para el wordpress. No son necesarios pero podemos activar alguno si nos interesa.

 

Una vez terminado, no nos olvidemos de salvar los cambios, y ya tendremos nuestro wordpress más seguro.