Login
WordPress ¿Cómo mantenerlo seguro?

WordPress ¿Cómo mantenerlo seguro?

WordPress es una de las plataformas más populares para la creación de sitios web debido a su flexibilidad y facilidad de uso. Casi el 40% de los sitios web existentes están desarrollados con WordPress.

Wordpress mejora en forma continua su seguridad, pero como todo software tiene vulnerabilidades, y al ser tan popular también sus vulnerabilidades son conocidas, lo que lo convierte en un objetivo frecuente para los hackers.

Si bien el núcleo de WordPress es actualizado rápidamente ante la detección de vulnerabilidades, no siempre es fácil para los usuarios actualizar el sitio a la última versión.

Por otro lado aplicar las actualizaciones automáticas puede causar que el sitio deje de funcionar por alguna incompatibilidad con el tema o plugins usados.

También los temas y plugins de WordPress pueden tener vulnerabilidades y en algunos casos las actualizaciones pueden demorar, o incluso no existir para temas o plugins que ya no reciben actualizaciones por parte de sus desarrolladores.

Algunas medidas esenciales para mantener seguro un sitio Wordpress

Mantener WordPress, Temas y Plugins Actualizados

Las actualizaciones suelen incluir parches de seguridad críticos. Es vital actualizar regularmente:

Core de WordPress:Tener siempre la última versión de WordPress.

Temas y Plugins: Los desarrolladores de temas y plugins también lanzan actualizaciones para solucionar vulnerabilidades.

Es importante usar Temas y Plugins que estén probados y tengan mantenimiento activo para evitar quedarse sin actualizaciones ante posibles vulnerabilidades.

Control de inicio de sesión

Es vital proteger el inicio de sesión de WordPress, porque aún teniendo las actualizaciones al día, si logran obtener la contraseña de acceso de un administrador, pueden tomar control total del sitio.

-Utilizar Contraseñas Fuertes y Únicas: Las contraseñas débiles son un punto de entrada común para los hackers. Se recomienda utilizar contraseñas largas con una combinación de letras, números y símbolos, así como utilizar un gestor de contraseñas para generar y almacenar contraseñas únicas.

-Cambiar el Nombre de Usuario por Defecto “admin”: El nombre de usuario “admin” es un objetivo común para ataques de fuerza bruta. Cambiar este nombre por uno menos predecible reduce la posibilidad de ingreso por ataque de fuerza buta

-Implementar la Autenticación en Dos Factores (2FA): La 2FA añade una capa adicional de seguridad. Incluso si alguien obtiene la contraseña, necesitará un segundo factor (como un código enviado a tu teléfono) para acceder. Existen varios plugins, como WP-2FA, que facilitan la implementación de 2FA en WordPress.

-Limitar acceso a wp-login.php: Limitar el acceso al wp-login.php a determinadas direcciones IP o agregando una capa de autenticación adicional a nivel de Apache por ejemplo, es una forma de evitar el acceso al formulario de login.

-Limitar intentos de inicio de sesión:Limitar los intentos de inicio de sesión puede prevenir ataques de fuerza bruta: Plugins como Login LockDown o Wordfence permiten establecer un número máximo de intentos antes de bloquear temporalmente al usuario.

Usar un Firewall de Aplicaciones Web (WAF)

Un firewall de aplicaciones es un sistema de seguridad diseñado para proteger sitios web de ataques, accesos no autorizados y tráfico dañino. Identifica y bloquea las amenazas potenciales en tiempo real, permitiendo sólo el paso del tráfico legítimo.

Existen varias opciones para agregar in Firewall de aplicaciones a WordPress.

Algunas externas a WordPress como por ejemplo Cloudflare que frena los ataques y accesos nos autorizados antes de llegar al servidor, otros que pueden ser a nivel del servidor como ModSecurity e Immuify360.

También existen Plugin de WordPress que actúan como Firewall de aplicaciones para WordPress, como Wordfence, Shield Security y Sucuri, entre otros.

Estas herramientas pueden ayudar a reducir riesgos cuando un sitio no tienen todas la actualizaciones al día.

Ajustes a nivel de permisos, base de datos, PHP y HTTP

Hay varias configuraciones que se pueden aplicar para mejorar la seguridad de WordPress:

  • Usar versiones recientes de PHP
  • Restringir acceso a archivos y directorios
  • Cambiar el prefijo predeterminado de la tabla de la base de datos
  • Bloquear exploración de directorios
  • Bloqueo del acceso a wp-config.php
  • Desactivar la ejecución de PHP en directorios de caché
  • Bloqueo del acceso a xmlrpc.php
  • Prohibir la ejecución de scripts PHP en el directorio wp-includes
  • Prohibir la ejecución de scripts PHP en el directorio wp-content/uploads
  • Desactivar pingbacks
  • Configurar claves de seguridad en wp-config.php
  • Desactivar edición de archivos en el panel de información de WordPress

Esas configuraciones requieren de ajustes a nivel del servidor, archivos .htaccess y del archivo wp-config.php.

Herramientas como WordPress Toolkit pueden realizar la mayoría de las configuraciones en forma simple desde el Panel de Control.

Definir cabezales de seguridad HTTP (HTTP Headers)

Los encabezados HTTP cumplen funciones muy distintas. Algunos de ellos, por ejemplo, están dirigidos a la neutralización de ataques muy específicos. Pero todos comparten una misión común: la protección de los sitios web y de los servidores.

HTTP Strict Transport Security (HSTS), X-XSS Protection, X-Content-Type-Options, X-Frame-Options, Content Security Policy,Referrer Policy, son los principales cabezales que ayudan a proteger sitios web

El plugin HTTP Headers se puede usar para configurar esos cabezales. Algunos requieren de un análisis del sitio en particular para definir el alcance de los mismos.

Realizar Copias de Seguridad Regulares

Las copias de seguridad permiten restaurar el sitio en caso de que algo salga mal:

– Frecuencia: Realizar copias de seguridad regularmente, dependiendo de la frecuencia con la se actualice el contenido.

– Puntos de restauración: Es recomendable guardar varias copias con diferentes versiones del sitio y mantener por lo menos versiones de hasta 60 días atrás.

– Almacenamiento Externo: Almacenar las copias de seguridad fuera del servidor principal.

Es conveniente consultar al proveedor de hosting sobre la frecuencia y retención de respaldos que ofrecen, así como también la posibilidad de recuperar sitios en caso de problemas. En base a eso se debe definir los respaldos adicionales que conviene guardar.

Contar con con servicio de Hosting seguro y con soporte especializado

Para alojar un sitio WordPress además de buscar un servicio de Hosting confiable, seguro y rápido, es fundamental elegir uno que ofrezca un servicio de soporte personalizado y con experiencia en WordPress.

Que brinde herramientas para simplificar la gestión de los sitios WordPress, y la ayuda necesaria para solucionar los problemas que puedan surgir en el uso del sitio.

Conclusión

Mantener seguro un sitio WordPress requiere una combinación de buenas prácticas y herramientas adecuadas. Al seguir las medidas descritas anteriormente, se puede reducir significativamente el riesgo de comprometer la seguridad de un sitio. Recordar que la seguridad es un proceso continuo y siempre estar atento a las nuevas amenazas y actualizaciones de seguridad.