Proseguimos con una segunda entrada sobre la serie de articulos sobre Seguridad en WordPress. Como indicabamos en dicho artículo, podemos dividir la seguridad de nuestro WordPress en tres grandes frentes.
El primero que desarrollamos en el primer artículo se centraría en bloquear el acceso al escritorio. Para esto hay infinidad de técnicas, desde cambiar la url de acceso, recaptcha, etc, pero creemos que la mejor opción es usar un candado o pestillo como latch.
En este segundo artículo nos vamos a centrar en asegurar la integridad de nuestras plantillas y plugins, que es otra vía principal de acceso de los atacantes. Principalmente buscan plantillas y plugins sin actualizar, que tengan vulnerabilidades conocidas. Por regla general cuando se conoce una nueva vulnerabilidad en un plugin o plantilla, los desarrolladores alertan a sus clientes para que se actualicen, así que es conveniente que mantengamos nuestro WordPress actualizado. El mayor problema que nos encontramos es que muchas veces no nos percatamos de las actualizaciones, o no la plantilla de nuestro WordPress no está probada hasta la última versión de WordPress, etc. Es cuando nuestra web se puede convertir en carne de cañón.
Es importante que el hosting que elijamos tenga medidas de seguridad. Todos conocemos los antivirus, firewalls, antimalware en nuestros portátiles, móviles o sobremesas. En el mundo de los servidores existen herramientas análogas que los administradores de sistemas instalan para detectar que alguien está mandando spam, o hay algún tipo de malware instalado. También existe el equivalente de los firewalls, los hay a nivel de red, que simplemente bloquean IPs, puertos, etc y los hay a nivel de aplicación, los llamados WAF o Web Application Firewall. Estos últimos lo que hacen es detectar patrones en las solicitudes a una web, ya que muchas veces los atacantes lo que hacen es modificar una URL para intentar conseguir datos de la base de datos o del servidor o simplemente usar tu web o servidor para envíar spam.
Qué podemos hacer para paliar la mayoría de estos riesgos, lo primero elegir un buen hosting que tenga un firewall tanto de red, como de aplicación. Pero en nuestro WordPress podemos tomar medidas como instalar plugins de seguridad como los que voy a mostrar a continuación.
Plugins de seguridad WordPress. Sucuri
Vamos hablar primero de Sucuri, un plugin de seguridad bastante completo que tiene una versión gratuita y otra premium (*) de pago.
Si tienes tu web en nuestro hosting nosotros tenemos incorporado un Firewall de aplicación a nivel de servidor, con lo que tu web estaría cubierta. Aún así recomendamos la instalación del plugin gratuito, porque tiene funciones muy interesantes.
Para instalarlo tenemos que buscar sucuri scanner al añadir un nuevo plugin en nuestro WordPress:
Una vez instalado, tendremos en nuestro escritorio una nueva entrada llamada Sucuri Security como la que se muestra aquí:
Cuando vamos a la sección de plugins no va a salir un banner diciendo que tenemos que generar una api key
Nos llevará a la web de sucuri, tendremos que registrarnos y generar una clave que se copiará en nuestro WordPress, una vez hecho esto la recomendación sería hacer un backup de tu WordPress por si alguna configuración da algún problema.
El plugin tiene muchísimas opciones que no podemos cubrir en este artículo, pero yo destacaría tres secciones, la de WAF es la premium y podemos ignorarla.
- Malware scan. En esta sección podemos hacer un escaneo al estilo antivirus y comprobar toda tu web por si hay algún fichero malicioso. Mi recomendación sería comenzar con un escaneo previo.
- Hardening. En esta sección se proporcionan una serie de sugerencias para proteger ciertas partes de nuestro wordpress para evitar hackeos. La mayoría de estas opciones podemos activarlas sin problema dandole al botón de harden de cada sección.
- Settings. Ahí podemos configurar al final de la subsección de General Settings nuestro correo para que se nos envien alertas. En la subsección de Alert settings podemos configurar diferentes alertas. P.ej. podemos configurar que nos envie un email avisandonos cuando alguien inicia sesión en WordPress o se cambie algún plugin o plantilla.
En general la parte más potente de este plugin es el escaneo y la securización de las secciones mostradas en Hardening. Se pueden configurar más opciones, pero esto sería lo más reseñable de este plugin.
Plugins de seguridad WordPress. Wordfence
Wordfence es un plugin que es totalmente compatible con Sucuri, de hecho puede complementar sus funciones. Mientras Sucuri se orienta más en escanear nuestra instalación de WordPress, Wordfence se orienta más en bloquear accesos a nuestro WordPress de manera automática. Veamos
Lo primero sería instalarlo en nuestro WordPress. Hay una versión gratuita y otra premium
Una vez instalado y activado tendremos en nuestro menú a la izquierda el menú propio de Wordfence
Lo primero será realizar un escaneo inicial para ver si algún fichero ha sido modificado. Aquí podemos ver un ejemplo.
Lo mejor de wordfence es que te permite ir arreglando los fallos encontrados de manera individual o hacer una reparación completa (bulk repair) de todos los fallos encontrados.
Una opción importante que recomiendo desactivar es la live view, ya que tiene una penalización en la velocidad de carga de tu web.
Por lo general, con las opciones que vienen por defecto es suficiente para trabajar con este plugin
(*) este enlace es de afiliado. Normalmente no pongo enlaces de afiliado salvo que el producto me parezca de mucha calidad.
Hola Miguel,
¡Gracias por el aporte! Había descuidado completamente la seguridad de mi web, menos mal que me he topado con esto antes de llevarme un susto. Seguiré tus consejos 🙂
Hola … Colecciones de Nice Plugin.
Me gustaría sugerir un complemento relacionado con la seguridad, que es el Bloqueador de usuario – Plugin de WordPress. Este es un complemento de seguridad gratuito de WordPress que ofrece la posibilidad de bloquear o desbloquear cuentas de usuario de forma rápida y sin esfuerzo. Tiene varias funciones como usuario de bloque, usuario de bloque basado en función, mensaje personalizable, etc.