Seguridad fácil en wordpress. Plugins para una web segura

por | septiembre 6, 2014

Instrucciones básicas para tener una web segura en WordPress y que plugins de seguridad utilizar.

Seguramente estás leyendo este artículo porque ya has sufrido un ataque en tu web, y quieres evitar otro. Te estarás preguntando porqué atacan tu web que no es más que un pequeño blog de barrio, o la tienda online de un pequeño comercio. Te preguntarás también, “¿quién está interesado en fastidiarme?”. Debes saber que hay muchos motivos por los que los hackers están dispuestos a atacar cualquier web, no importa su tamaño, repercusión social o actividad que desarrolle, siempre hay un buen motivo para atacar.

Si aún no has sufrido un ataque, te recomiendo que dediques un rato a mejorar la seguridad de tu web, porque tarde o temprano te tocará a tí también, es cuestión de tiempo.

¿Porque atacan los hackers las páginas web?

Los hacker utilizan las webs para colocar links a otras web (linkbuilding), para robar claves de acceso a pasarelas de pago (fishing), o para colocar productos a bajo precio que luego no entregan, todo utilizando tu web y arruinando posiblemente tu negocio o como poco el posicionamiento de tu página web por el efecto de SEO negativo que se produce con todas estas acciones, ya que estos ataques permiten a los hackers tirar abajo webs o redirigirlas a sitios controlados por el ellos mismos, tomando completamente el control de las webs vulnerables y añadiéndolas a una red zombi.

Un estudio de la Checkmarx (que tiene un pluging para wordpress) ha desvelado que más del 20% de los 50 plugins WordPress más populares son vulnerables a ataques comunes. lo que supone un gran agujero de seguridad para los webmasters que utilizan estos plugings. Además indica también que  7 de los 10 plugins de e-commerce más populares contienen vulnerabilidades. No vamos a profundizar en la seguridad de los plugins de e-commerce, ya que en mi opinión el que apueste por vender en serio en Internet debería probar otras alternativas como OptimizedStores ya que no se puede jugar con la seguridad en el negocio.

Los hackers pueden explotar estos plugins vulnerables para acceder a información sensible, cómo pueden ser datos de usuarios, detalles financieros (especialmente en plugins e-commerce) y otro tipo de información que faciliten los usuarios que se registren en sitios con plugins vulnerables.

Recomendaciones de seguridad para blogs de WordPress

Como verás muchas de las medidas básicas pasan por actualizar el software, siendo esta la parte más sencillas y rápidas de implantar, ya que WordPress te avista en su panel de control de las actualizaciones a realizar y sólo tienes que pinchar en el link de actualización.

  • Mantén siempre actualizada la última versión de WordPress, ya que la mayoría de las actualizaciones son para cubrir agujeros de seguridad detectado por el equipo de WordPress.
    ¡Antes de instalar una nueva versión de WordPress haz una copia de seguridad!. Puedes usar el plugin 6Scan o Xcloner entre otros.
  • Descarga plugins sólo desde la web oficial de WordPress.org ya que han sido previamente verificadas.
  • Escanea los plugins instalado para detectar problemas de seguridad. Puedes usar Acunetix WP Security como opción gratuita bastante completa, o 6Scan como opción de pago, aunque tiene un módulo gratuito.
  • Mantén todos tus plugins actualizados, las versiones anteriores pueden tener fallos de seguridad que las actualizaciones precisamente se encargan de reparar.
  • Borra cualquier plugin que ya no uses, ya que es código sin mantenimiento.
  • Mantén tus temas actualizados, los temas y los plugins son las principales vías de entrada de un ataque.

Adicionalmente, y para aumentar la seguridad te recomiendo descargar el plugin Acunetix WP Security que es muy completo y te permite realizar la mayoría de las acciones de seguridad adicionales sin conocimientos técnicos, te permitirá hacer entre otras las siguientes acciones:

Dashboard. Acunetix WP Security

Dashboard. Acunetix WP Security

  • Copia de seguridad de la base de datos de WordPress para la recuperación ante desastres, aunque es sólo la copia de la base de datos. Si quieres una copia completa usa Xcloner.
  • Elimina de errores de información en la página de acceso (wp-admin). Esto es importante porque evita dar pistas sobre el usuario que está dando errores, ya que el nombre de usuario se queda registrado.
  • Adición del archivo index.php a wp-content, wp-content/plugins, wp-content/themes y directorios wp-content/uploads para evitar el listado de directorios.
  • Elimina información útil para los hackers:
    • Versión de WordPress, excepto en el área de administración.
    • Etiqueta WP Generador y WP META TAG.
    • Etiqueta Windows Live Writer.
    • Actualización de plugins para los no administradores.
    • Etc…
  • Ocultación de la versión de WordPress.
  • Presentación de informes de los permisos de archivos siguiendo los controles de seguridad de Acunetix.
  • Herramienta de tráfico en tiempo real para monitorizar la actividad de tu sitio web. Esto permite expulsar a un visitante sospechoso.
  • Herramienta integrada para cambiar el prefijo de la base de datos. Resulta útil, te evita tener que hacer tú manualmente. (antes haz una copia de seguridad!)
  • Etc..

Una vez activado el plugin, sólo tienes que hacer dos cosas, una mirar el “Dashboard”, seguramente tengas muchos puntos rojos. Pues bien, ve a “Settings” y marca todas las opciones y después actualiza con el botón “Update settings”. Después de hacer esto verás que muchos  puntos rojos ahora están en verde. Una cosa más, el apartado “Database” te permitirá cambiar el prefijo “wp” de las bases de datos por otro que elijas para proteger tus datos de atackes automatizados.

Te muestro un vídeo explicativo grabado por http://www.webempresa.com/.

Ningún sitio está completamente seguro, pero un sitio normal debería tener suficiente con estas indicaciones, ya que los hackers usan robots que hacen ataques teniendo en cuenta la configuración por defecto de WordPress, configuración que hemos cambiado con las medidas anteriores, que al final no lleva más de 10 o 15 minutos en aplicar. ¿Que son unos minutos frente a las horas que le puedes dedicar a arreglar los problemas causados por un ataque?. Te recomiendo que te pongas ya!, a instalar tu seguridad en WordPress.

Ten en cuenta que los plugings que permiten la interacción del usuario son más propensos a uno de estos ataque, aunque eso no es todo, es cuestión del código ofrecer una entrada de usuario apropiada y segura.

Usa datos de acceso seguros y asegura tus datos

Al instalar WordPress, se ofrece “Admin” como nombre de usuario por defecto, muchos usuarios no cambian este nombre y eso lo saben los hackers, que ya  tienen la mitad de la información para acceder a sus WordPress con permisos de administrador, la otra mitad es tratar de averiguar la clave de acceso. Si además de usar Admin, tienen una contraseña simple, fácil de adivinar, están aún más que expuestos a posibles accesos no deseados. Para solucionarlo:

  • Cambia el nombre de usuario admin lo antes posible a través del menú Usuarios y añade un usuario administrador con un nombre diferente. Conviene cambiarlo de vez e cuando si tienes sospechas.
  • Cambia la URL de login de WordPress como medida adicional. Hay plugins para poder hacerlo.
  • Limita los intentos de acceso. Hay plugins para hacerlo.

En resumen, si ya instalaste wordpress sin tener en cuenta estas recomendaciones, primero baja Xcloner para hacer una copia de seguridad, Después Acunetix WP Security para implementar la mayoría de las recomendaciones, y finalmente cambia tu nombre de usuario de WordPress.

Espero que este artículo te haya ayudado para implementar la seguridad en tu web sin tener que dedicarle mucho tiempo.