Cómo mantener WordPress seguro: 15 consejos clave

Si tienes una web basada en WordPress, seguro que alguna vez has sentido ese pequeño escalofrío al pensar: ”He oído que hackean muchos WordPress… ¿y si un día me hackean mi web? ¿Y si la dejo de tener operativa durante días mientras intento solucionar el problema y esto provoca pérdidas en mi negocio?”

Tranquilo/a, no eres el único/a que se hace esta pregunta, y si cada día hackean cientos y de webs desarrolladas en WordPress, pero esto es normal, es el CMS más usado del mundo, con lo cual lo convierte en un objetivo deseado por “los malos” de internet y por lo tanto WordPress es también es posiblemente el CMS más atacado del mundo.

Pero no sufras: con buenas prácticas (y un poco de sentido común) puedes mantener tu web a salvo de sustos y disgustos, sin necesidad de ser un experto en ciberseguridad ni mucho menos.

Hoy te ofrecemos una relación de consejos para mantener tu WordPress Seguro clasificados en tips básicos para principiantes y tips avanzados para quienes quieren ir un paso más allá. Así puedes elegir hasta dónde quieres blindar tu web

TIPS BÁSICOS (para dormir tranquilo sin complicarte la vida)

1 - Actualiza siempre WordPress, plugins y temas

Las actualizaciones no son caprichos de los desarrolladores. Al igual que ocurre con las aplicaciones de nuestros móviles, las actualizaciones tienen 3 objetivos:

Aplicar mejoras
Corregir errores de funcionamiento
Arreglar bugs o fallos de seguridad

Por lo tanto actualizar todos los componentes de tu WordPress es crucial para asegurar su buen funcionamiento y su seguridad. Si actualizas de forma periódica tu wordpress será una web segura y fiable. No actualizar es como salir de casa dejando la puerta entreabierta.

📝Consejo: Si por algún motivo piensas que no vas a ser capaz de entrar al menos un par de vece sal mes a tu wp-admin para aplicar las actualizaciones puedes activa las actualizaciones automáticas tanto del core de WordPress como de los plugins y revisar manualmente si hay actualizaciones de los temas al menos una vez al mes (no todos los temas tienen la opción de actualizaciones automáticas, aunque suelen recibir menos actualizaciones que el resto de componentes).

Pero si puedes acceder al menos un par de veces al mes, nosotros somos partidarios de que actualices todo manualmente, esto te permitirá hacerlo de forma controlada, comprobar si una vez actualizado todo funciona correctamente y en caso contrario actuar inmediatamente para solucionarlo. Te imaginas que se actualiza automáticamente algo y provoca un error un viernes por la tarde o estando de vacaciones… no te darás cuenta en muchos días 😉.

2 - Copias de seguridad: periódicas

Aunque todo falle, si tienes una copia de seguridad, puedes recuperar la web en minutos. Es el salvavidas número uno. Ahora bien no todo es tan fácil y tan sencillo.

En caso de malfuncionamiento será mano de santo, podrás recuperar tu web sin problemas pero en caso de hackeo muchas veces las copias ya estarán infectadas, ya que muchas veces los hackeos inyectan el código malicioso en una fecha, esperan un tiempo prudencial de 20, 30 o más días y luego se ejecutan, con lo cual tus copias recientes ya están infectadas.

📝 Consejo: Te recomendamos que hagas las copias de seguridad de forma regular, por ejemplo cada vez que hagas cambios importantes en tu sitio web y las descargues en tu equipo. Al restaurarlas podrás elegir si restauras solo archivos, solo base de dados o archivos + base de datos.

Además, recuerda que tu hosting de Nominalia y la mayoría de proveedores hace copias de seguridad automáticas que guarda durante días y que puedes restaurar cómodamente desde el panel de control.

🔌 Plugins de copias de seguridad recomendados: UpdraftPlus, WPVivid

3 - Evita el usuario "admin" y las contraseñas débiles

Nunca uses «admin» como usuario y jamás pongas contraseñas como «123456» o «qwerty”, “01010101”, “admin+nombredetuempresa»… Es como invitar a los hackers a entrar con alfombra roja.

“Admin” es el usuario por defecto que usa cualquiera, así que de dos datos, ya le has facilitado uno al hacker y las contraseñas que hemos mencionado, serán las primeras que probará cualquier bot o hacker, aunque te parezca mentira son las más utilizadas e inseguras del mundo.

Si ya has creado el usuario Admin es tan sencillo como que te crees otro nuevo con perfil de administrador, salgas del administrador de WordPress, vuelvas a entrar con el nuevo usuario y borres el antiguo admin (recuerda siempre atribuir el conenido al nuevo usuario cuando lo borres para no perder lo publicado por él).

📝 Consejo: Usa siempre contraseñas largas (al menos 10 caracteres) que combinen mayúsculas, minúsculas, números y símbolos. Y si te cuesta recordarlas usa un gestor de contraseñas.

4 - Instala solo plugins y temas de confianza

Evita descargar plugins o temas “nulled” (piratas). Es una gran tentación ver que ese tema o ese plugin que vale 80 o 90 euros (o más en algunas ocasiones) está gratis “en una página de internet”. Lo más probable es que venga con bichito en forma de sorpresa desagradable (malware, troyanos, scripts rarunos…). Caso aparte son algunas webs de suscripción que previo pago permiten descargarlos a un precio super-reducido, pero esta es otra historia aprovechando un vacío legal en el “código abierto”.

Nosotros siempre te aconsejaremos que aunque salga más caro, compres el theme o el plugin que necesitas en el repositorio oficial, estarás 100% seguro de que está limpio, podrás actualizarlo fácilmente cuando aparezcan updates y además tendrás soporte técnico ante problemas o dudas que puedan surgirte.

📝 Consejo: Instala solo plugins descargados o adquiridos en el repositorio oficial de WordPress, plataformas reconocidas como themeforest.net o sitios web de desarrolladores verificados.

5 - Ojo con los plugins vulnerables y abandonados

En ocasiones puede que hackeen nuestro sitio web y no entendamos como ha podido ocurrir “¡Si lo tenía todo actualizado!”

Esto sucede porque hemos estado utilizando plugins abandonados. Son plugins que fueron programados por alguna empresa o desarrollador y por el motivo que fuera dejó de seguir manteniéndolos vivos por lo que ya no reciben actualizaciones ni soporte. En principio no suele ocurrir nada, pero si con las nuevas actualizaciones de WordPress, theme u otros plugins se produce alguna incompatibilidad puede provocar un error fatal en nuestra web o peor, si se descubre una vulnerabilidad en ellos ya no hay nadie que se encargue de corregirla mediante una actualización, entonces…

En otras ocasiones también puede que tengamos algún plugin vulnerable instalado, esto ocurre mucho cuando no actualizamos los plugins o algún plugin no tiene la licencia aplicada y por o tanto no se puede actualizar. Como antes, si tiene una vulnerabilidad y no actualizamos podemos tener un problema.

Lo habitual es que con la actualización del plugin se corrija la vulnerabilidad (recuerda que en los plugins de pago deberás tener la licencia vigente para poder actualizarlos)

Y el caso que nos expone de forma crítica es cuando se combinan ambas situaciones, tener instalado un plugin abandonado y vulnerable al mismo tiempo. En este caso jamás habrá una solución al problema de la vulnerabilidad y recomendaríamos sustituir ese plugin por otro de funciones similares de manera inmediata o por supuesto eliminarlo si no está en uso.

🔌Para detectar plugins abandonados y vulnerables podemos utilizar diferentes herramientas y plugins:

https://wphive.com Analizará un plugin en concreto dándonos información de valor sobre su compatibilidad con la última versión de WordPress, frecuencia de actualización, errores y problemas…

Si vemos que la última actualización se recibió hace más de 3 meses, deberíamos mantenernos alerta.

Wordfence: Para nosotros este plugin la mejor opción, esta suite de seguridad además de escanear todo nuestro sitio y localizar plugins abandonados y vulnerables nos avisará si encuentra malware o código malicioso y nos permitirá aplicar algunas medidas de seguridad adicionales, como impedir la subida de ficheros ejecutables al directorio wp-uploads, protegernos de ataques contra fuerza bruta, activar un firewall…

6 - Protege la página de login

El acceso al panel de control es el objetivo número uno de los ataques automáticos por fuerza bruta (los que intentan acceder probando combinaciones de usuario y contraseña).

Por defecto estos ataques irán dirigidos a la url tudominio.com/wp-admin (o wp-login.php, que es lo mismo)

🔌Para protegerte frente a este tipo de ataques puedes

Cambiar la URL de acceso wp-admin por cualquier otra. (Puedes hacerlo fácilmente por ejemplo con el plugin WPS Hide Login).
Limitar los intentos de acceso fallidos (por ejemplo con Limit Login Attempts Reloaded). De esta manera podrás bloquear una determinada ip durante un determinado tiempo cuando haya fallado X veces al intentar acceder
Activa la verificación en dos pasos (2FA).

7 - Elimina lo que no usas

Bajo nuestro punto de vista deberías eliminar todos aquellos componentes que tengas desactivados y no utilices, incluso te diríamos que revises los que tienes activados y si hay alguno que no usas lo desactives y lo elimines.

Temas y plugins desactivados, aunque estén desactivados siguen ahí… y pueden ser vulnerables.

Nuestras razones para eliminar plugins desactivados:

Por seguridad:Los plugins desactivados, aunque no estén activos, siguen siendo código en tu servidor que puede ser susceptible de ser hackeado y además si un sitio es hackeado por otro motivo, estos archivos pueden ser comprometidos y utilizados para instalar malware, ejecutar scripts o inyectar código malicioso.
Por rendimiento: Los plugins inactivos no afectan directamente el rendimiento del sitio web, pero pueden ralentizar las copias de seguridad y aumentar el espacio ocupado en el hosting, especialmente si son muchos.
Por mantenimiento: La presencia de plugins inactivos puede generar confusión al intentar solucionar problemas en el sitio, especialmente si quien lo hace no es la misma persona que desarrollo el sitio web ya que puede no tener claro si son necesarios o no.

En resumen, eliminar los plugins desactivados que no se utilizan es una práctica recomendada para mantener un sitio web WordPress seguro, rápido y fácil de mantener

📝Consejo: Si no lo usas, elimínalo.

8 - Revisa y asegura los permisos de determinados archivos

Los permisos incorrectos permiten que archivos puedan ser modificados desde fuera y esto puede convertirse en un peligro.

En general los permisos correctos para los diferentes directorios y archivos que componen WordPress y que seguramente tendrás establecidos por defecto son:

Permisos de directorios (carpetas) (755): Permiten al propietario leer, escribir y ejecutar el directorio, mientras que los usuarios del grupo y otros usuarios solo pueden leer y ejecutar.
Permisos de archivos (644): Permiten al propietario leer y escribir el archivo, mientras que los usuarios del grupo y otros usuarios solo pueden leerlo.
Permisos particulares para los ficheros wp-config.php y .htaccess (600 o 400):

Estos 2 últimos archivos archivos que encontramos en la raíz del sitio son cruciales para la configuración de WordPress y la seguridad del sitio. Los permisos más restrictivos ayudan a prevenir modificaciones no autorizadas.

📝Consejo:

Establece permisos 444 a wp-config.php
Establece permisos 644 a .htaccess

9 - Una de mates: Hosting + seguro = - dolores de cabeza

Aunque el gran peso de la seguridad de tu WordPress está en el propio WordPress y como lo mantengas no está de más que tu hosting cuente con características de seguridad que sumen.

Un buen hosting incluye cortafuegos, antivirus, monitorización y copias de seguridad automáticas.

Además muchos proveedores como Nominalia, debido a la gran popularidad de WordPress tienen hostings totalmente enfocados y específicos para CMS con medidas y reglas especificas para ayudar a mantenerlo todavía más seguro.

TIPS AVANZADOS (para aumentar todavía más la seguridad de tu WordPress)

Antes de aplicar estas acciones, pone en práctica la acción Básica nº2 y asegúrate de tener una copia de seguridad 😉

10 - Cambia el prefijo de las tablas de la base de datos

La base de datos de tu WordPress es donde se almacena toda la información de la web, como son las etiquetas, artículos, nombres de usuarios, contraseñas, etc. Esta base de datos está compuesta por múltiples tablas, que son las que almacenan la información y cuentan con unos nombres predefinidos iguales para todas las instalaciones de WordPress.

Conocer cuáles serán los nombres de las tablas utilizadas es una ventaja para los ciberdelincuentes pero podemos eliminar esa ventaja cambiando el prefijo que establece WordPress por defecto que es “wp_”

Si tienes conocimientos técnicos y no te da miedo meterte en el código puedes cambiar el prefijo de las tablas de la base de datos de WordPress desde phpMyAdmin.

PRIMERO establece el prefijo de tu agrado en el fichero wp-config.php localizando la línea $table_prefix = ‘wp_’; y cambiando “wp_” por el prefijo deseado, imaginemos “xxx_”

A continuación entra a PhpMyadmin en tu panel de control del hosting, selecciona la base de datos y ejecuta las siguientes consultas SQL


Rename table wp_commentmeta to xxx_commentmeta;
Rename table wp_comments to xxx_comments;
Rename table wp_links to xxx_links;
Rename table wp_options to xxx_options;
Rename table wp_postmeta to xxx_postmeta;
Rename table wp_posts to xxx_posts;
Rename table wp_termmeta to xxx_termmeta;
Rename table wp_terms to xxx_terms;
Rename table wp_term_relationships to xxx_term_relationships;
Rename table wp_term_taxonomy to xxx_term_taxonomy;
Rename table wp_usermeta to xxx_usermeta;
Rename table wp_users to xxx_users;

Algunos plugins (por ejemplo, Yoast SEO o Imagify) añaden sus propias tablas personalizadas a tu base de datos. Recuerda reemplazarlas también con tu nuevo prefijo de la misma manera.

EL SIGUIENTE PASO será editar la tabla wp_options

Esta tabla contiene todas las opciones de tu sitio, las que se encuentran en el menú «Configuración» de la administración de WordPress. Pero claro, como has cambiado el prefijo de la tabla, perderás los permisos necesarios para acceder a la administración de tu sitio.

Para solucionar este problema

Haz doble clic en la tabla wp_options.
En la columna option_name, localiza el campo wp_user_roles. Haz doble clic en él y reemplázalo por wp_user_roles (con el nuevo prefijo que hayas elegido, por ejemplo, xxx_user_roles).

FINALMENTE

Edita la tabla wp_usermeta. En la columna meta_key, reemplaza todos los prefijos antiguos wp_ por los nuevos.

Para mayor comodidad, puedes hacer clic en la columna meta_key para filtrar alfabéticamente:

Ahora, cruza los dedos 🤞 y comprueba que todo funciona correctamente.

🔌Si no te manejas bien o quieres optar por una solución más sencilla puedes utilizar algún plugin como Brozzme DB Prefix & Tools Addons (verás que hace dos años que no recibe actualizaciones, pero no te asustes, lo puedes utilizar tranquilamente y luego desinstalar). que te permita hacer ese cambio sin complicarte demasiado.

11 -Desactivar XML-RPC

XML-RPC es un protocolo que permite a la instalación central de WordPress comunicarse con otros sistemas. Utiliza HTTP como mecanismo de transporte y XML para la codificación.

El XML-RPC es necesario por ejemplo para usar la app de WordPress desde tu smartphone Android o iOS o plugins como Jetpack que conectan tu sitio con wordpress.com u otros plugins de sincronización.

Sin embargo, si no vas a utilizar esas funcionalidades es aconsejables que lo desactives ya que tiene vulnerabilidades de seguridad conocidas que pueden exponer tu sitio a ataques de denegación de servicio y otros.

Hacerlo es muy sencillo, simplemente edita tu fichero .htaccess y añade esta línea


<Files xmlrpc.php>
order allow,deny
deny from all
</Files>

12 - Desactiva la edición de archivos desde el panel de WordPress

Desde la herramienta «Editor de temas» del panel de administración del propio WordPress es posible editar diferentes ficheros. Esta funcionalidad es recomendable mantenerla deshabilitada porque, en caso de que un hacker consiga acceso al panel de administración se abre una vía para modificar ficheros y continuar con el ciberataque. Para desactivarlo simplemente edita tu fichero wp-config.php, y añade este define


define('DISALLOW_FILE_EDIT', true);

13 - Desactiva la indexación y exploración de directorios

La exploración de directorios puede ser utilizada por hackers para averiguar si tienes algún archivo con vulnerabilidades conocidas, de modo que puedan aprovecharse de estos archivos para obtener acceso o llevar a cabo tropelías en tu web. Bloquear la exploración de directorios es tan sencillo como añadir esta línea en tu archivo .htaccess


Options -Indexes

14 - Bloquea la enumeración de usuarios

Mediante el escaneo de un sitio con un script de enumeración que solicite los números de usuario un atacante puede escanear tu web y obtener una lista de nombres de usuario en cuestión de segundos, de manera que de los dos parámetros fundamentales para acceder a la web ya tendría uno, el usuario. la solicitud de números de identificación usuarios. Por ejemplo, las peticiones para https://tudominio.com?author=1 a través de algún número, digamos, ?author=50, puede revelar los nombres de usuario para todos los usuarios asociados. Con un simple script de enumeración, un atacante puede escanear tu site y obtener una lista de nombres de usuario en cuestión de segundos. Para bloquear esta posibilidad y ponérselo mucho más difícil al hacker a la hora de descubrir los nombres e usuario puedes añadir estas líneas a tu archivo .htaccess



#Bloqueo scan autor
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC,OR]
RewriteCond %{REQUEST_URI} ^.*wp-json/wp/v2/(users) [NC]
RewriteRule .* - [F]

PARA FINALIZAR:

No queremos que te asustes, WordPress es sin duda el mejor CMS que existe en la actualidad, si no utilizas prácticas raras a la hora de obtener los plugins y themes que vas a usar en tu web, mantienes actualizado tanto el núcleo, como los plugins y themes de diseño (recuerda aplicar las licencias de los plugins y themes premium para poder actualizarlos) y utilizas contraseñas seguras no debes tener ningún problema de seguridad.

No obstante aplicando las medias que te hemos mostrado todavía podrás estar mucho más tranquilo y si la web es muy importante para ti o para tu negocio y no quieres complicarte la vida, recuerda que Nominalia tiene un fantástico servicio de Mantenimiento WordPress mediante el que nos encargamos de hacer todo esto y muchas cosas más por ti, incluso si ya llegas tarde y estás leyendo este artículo porque has tenido problemas o tu web ha sido infectada con Malware podemos desinfectar tu web y protegerla para que no vuelva a pasar.

❤️ Esperamos que este artículo te haya sido de utilidad. Si ha sido así, anímate y valóralo.