¿Cómo mejorar la seguridad en WordPress? Guía práctica


Última modificación: 25 mayo 2016

En este artículo quiero facilitarte una serie de buenas prácticas que puedes llevar a cabo en tu WordPress con el objetivo de no incurrir en el patrón de configuración por defecto, es decir, vas a ver como cambiar algunos detalles de la configuración que están a tu alcance y que redundarán en trabajar con un WordPress más seguro o, dicho de otro modo, “menos vulnerable” a los ataques que pueda sufrir. Conseguirás por tanto mejorar la seguridad en WordPress.

De este modo, te curarás en salud de algunas situaciones que podrían acarrearte algún que otro trastorno. Conoces WordPress, tu fuerte no es el tema técnico pero con un poco de orientación te desenvuelves bien.

Pues vamos a responder a esta pregunta. ¿Qué puedo modificar para tener la tranquilidad suficiente de que mi WordPress será un poquito menos vulnerable a los ataques que pueda sufrir?

Eso es lo que trataré de mostrarte en este artículo intentando evitar introducirte en temas excesivamente técnicos y empleando un tiempo prudencial.

No tenemos un remedio para curarnos en salud al 100%, por lo que, si aplicas estas pautas reducirás la probabilidad de tener un contratiempo y, en caso de tenerlo, tendrás argumentos para salir del paso. Desde mi punto de vista, los pasos que indico son accesibles tanto para un principiante como para alguien que tiene más recorrido con la herramienta. De cualquier modo confío que el artículo te ayude, oriente y te de la confianza necesaria para sacarlos adelante.

¡Vamos allá!

¿Qué puedo hacer para tratar de asegurar mi WordPress sin tener que adentrarme mucho en temas técnicos que no son lo mío?

Lo primero y más importante, sentido común. Haz una copia de seguridad de tu página web. Si este asunto lo tienes automatizado mejor. Si algo sale mal o de un modo no previsto puedes dar marcha atrás y salir del paso. Si tienes esto claro y resuelto tendrás la certeza de que pase lo que pase con tu web o blog siempre podrás quedarte igual que estabas. Ojo con no tener copias de seguridad.

Estos son los pasos que te propongo en base a mi experiencia, en base a la experiencia de otras personas y a consejos recibidos

  • 1. Cambiar el usuario administrador por defecto de tu wordpress
  • 2. Poner una contraseña en condiciones
  • 3. Cambiar el prefijo de las tablas por defecto
  • 4. Emplear la característica de claves únicas de autentificación de WordPress
  • 5. Mantén tu wordpress siempre actualizado. Los plugins y temas también.
  • 6. Emplear un plugin de seguridad
  • 7. Para los más inquietos, modificar manualmente el archivo especial .htaccess

1. Cambia el usuario administrador por defecto de tu wordpress

A pesar de que hay innumerables post escritos invitando a cumplir esta práctica continúan siendo innumerables sitios web y blogs que no lo hacen. Me sumo a ellos y te argumento en la misma línea, olvídate del usuario admin, administrator, administrador o equivalente. Cuando realices la instalación de tu wordpress, lo primero que tienes que tener en mente es NO emplear el usuario admin que por defecto te propone el sistema.

Cámbialo por otro, ¿cuál?

El que más rabia te de. Puedes emplear por ejemplo este “usradmweb” que viene a ser la abreviatura de “usuario administrador de la web“. Si se te ocurre otro, adelante.

Un consejo de un forero de Forobeta que me parece apropiado. Cito literalmente:

“Lo más importante y a la vez más sencillo, nunca llamar al login de administrador “admin” o con el mismo nombre que se pueda ver en el autor principal de los posts.

Para ello WordPress permite utilizar un sobrenombre para mostrar publicamente diferente al login de acceso.”

2. Pon una contraseña en condiciones

Al usuario que vayas a emplear como administrador del sitio web ponle un a contraseña en condiciones y si tienes varios perfiles de usuarios también.

Mezcla mayúsculas, minúsculas, números y no menos de 8 caracteres.

Una herramienta que puedes emplear para resolver este punto y la forma en que gestionas tus contraseñas para no acabar empleando siempre la misma es LastPass. Se trata de un gestor de contraseñas que dispone de una pequeña utilidad que te genera contraseñas automáticamente según un patrón preestablecido de requisitos. Si no quieres emplear LastPass para ayudarte en esta labor, pon todo tu cariño y esfuerzo en crear contraseñas en condiciones.

3. Cambia el prefijo de las tablas por defecto “wp_”

En el proceso de instalación de WordPress el prefijo de las tablas por defecto que te propone la herramienta es “wp_”. Cámbialo por otro.

¿Qué prefijo pongo?

Puedes emplear por ejemplo este: “XyZr45FFG651j_”. La idea es que sea poco predecible, tal y como se expresa en este tutorial de seguridad de WordPress de Forobeta.

Nota. Puedes documentar todos estos datos y tenerlos centralizados en la plantilla excel que te descargas con la suscripción al blog. [mc4wp_form id=”2006″]

 

Si ya tienes tu WordPress funcionando y quieres cambiar el prefijo de las tablas de un modo sencillo puedes emplear un plugin que te ayudará a resolver este asunto, como Better WP Security. En el próximo artículo trataré este detalle. Aunque recuerda que si todavía no has instalado tu WordPress, ten en cuenta este detalle y no pongas “wp_” como prefijo de tus tablas.

4. Emplear la característica de claves únicas de autentificación

Desde la versión 2.6 de WordPress se dispone de esta característica que por lo que observo aparentemente es poco conocía y no se hace uso de ella de forma habitual. Este paso es un poco menos trivial pero a mi modo de ver es sencillo de implementar. Se pueden dar dos casos.

  • Te encuentras en el proceso de instalación de tu WordPress
  • Tienes tu WordPress instalado y operativo

4.1. Te encuentras en el proceso de instalación de tu wordpress

En este caso tienes que modificar el archivo wp-config-sample.php. En este artículo de la web Isocialweb te lo explican bien.

En el ejemplo que aquí te muestro tengo el archivo en mi PC y lo estoy abriendo con el programa notepad++. Puedes ver las líneas que hay que modificar. Fíjate que en el cuerpo del archivo te informan de que hay disponible una dirección donde se generan “frases” totalmente aleatorias. Son las que puedes emplear en tu archivo. Con esto conseguirás tener definidas un conjunto de claves únicas para tu web o blog. Esas claves no las compartas ni las hagas publicas.

Consigue tu conjunto de frases aleatorias aquí => https://api.wordpress.org/secret-key/1.1/salt/

Copiar, pegar y listo

mejorar la seguridad en wordpress

Copia y pega las claves en tu archivo wp-config-sample.php

mejorar la seguridad en wordpress

4.2. Tienes tu WordPress instalado y operativo

¿Puedo realizar esta operación en este punto? Si, también puedes. ¿Cómo?

En este caso tienes que modificar el archivo wp-config.php. Las lineas que tienes que modificar son las mismas que en el caso anterior. Cuanto confirmes el cambio todos los usuarios tendrán obligatoriamente que volver a introducir sus credenciales

mejorar la seguridad en wordpress

Más información sobre estas claves de autentificación

5. Tu WordPress siempre actualizado

Si trabajas con un WordPress desactualizado durante cierto tiempo tienes altas probabilidades de verte en un compromiso. Las actualizaciones de WordPress se despliegan para corregir problemas de seguridad entre otras cosas. Esos problemas de seguridad se hacen públicos y poco tardan las “mentes oscuras” en crear herramientas que exploten esos problemas de seguridad para tratar de hacerse con el control de tu WordPress (y de los máximos posibles), entre otras cosas, para hacer SPAM a tu costa.

Consejo. Antes de actualizar recuerda hacer una copia de seguridad por lo que pueda pasar, que eso de la seguridad está muy bien pero a veces las actualizaciones nos la lían parda y mejor un poco de tiempo con un wordpress vulnerable que no actualizado. Hasta que lo corrijan.

5.1 Lo mismo para tus plugins y temas

Aplica la misma política para los plugins y temas, es decir, aquellos que decidas emplear porque te hacen la vida más fácil mantenlos actualizados también. Lo ideal es disponer del menor número de plugins posible que cubran todas tus necesidades. Busca un equilibrio.

6. Emplear un plugin de seguridad

Otra acción que está a tu alcance para asegurar tu WordPress es emplear un plugin de seguridad. La oferta es variada pero me han hablado de estos plugins.

Me ha gustado y he probado WP Better Security. En el próximo artículo voy a tratar de mostrarte que opciones tienes para configurarlo. Los puntos 1, 2 y 3 que aquí te he comentado se contemplan como opciones en el plugin, por lo que, en caso de que todavía no hayas realizado los pasos 1, 2 y 3 de modo manual, con la ayuda del plugin puedes sacarlos adelante. Te mostraré como hacerlo en el próximo artículo.

Te dejo esta infografía que reune los plugins más populares relacionados con la seguridad de WordPress. Nos da una visión panorámica de que es lo que tiene más tirón en temas de seguridad de WordPress.

Ver infografía al completo. Plugins de seguridad más populares

7. Para los más inquietos. Modificar el archivo .htaccess

La edición del archivo .htaccess permite hilar muy fino en la configuración de reglas y opciones que nos brindan un amplio abanico de posibilidades de seguridad, entre otras cosas. El archivo .htaccess no es un archivo própio de WordPress, es un archivo especial empleado por el sistema operativo. WordPress se apoya en él para ciertos asuntos.

La edición de htaccess no  trivial y requiere de cierta pericia y conocimiento técnico. Hay que tener cuidado. Se dan situaciones donde es muy práctico y útil su edición para propósitos que mejoran aspectos de nuestro sitio aunque no conciernen directamente a WordPress.

Con la ayuda que podemos encontrar en numerosos foros y blogs puedes tratar de implementar algunas opciones sin correr muchos riesgos de que tu página se quede fuera de juego.

Tenemos algunos artículos interesantes con opciones ya definidas que tan solo requiere por nuestra parte de copiar y pegar. He localizado y me han recomendado estos artículos sobre la materia:

  • En el artículo asegurando wordpress con .htaccess de ayudawordpress tienes opciones e ideas que puedes implementar para incrementar la seguridad de tu wordpress.
  • En el hilo Seguridad en WordPress de forobeta tienes también un amplio abanico de detalles e ideas de configuración del archivo .htaccess en los puntos del tutorial B, C, D y E.
  • Leyendo el tutorial anterior me he informado de lo que han elaborado en Perishable Press. Se trata de un archivo .htaccess llamado 5G Blacklist 2013, que contiene una lista de reglas que permiten bloquear a posibles atacantes. Personalmente la estoy probando en algunos de mis sitios web.

5G Blacklist 2013| http://perishablepress.com/5g-blacklist-2013/

Creo que tienes suficiente información para mejorar la seguridad de tu WordPress. El caso es que, si aplicas al menos los puntos 1 al 5 que aquí te indico puedes reducir notablemente la probabilidad de tener un contratiempo con tu sitio web o blog creado con WordPress empleando un tiempo prudencial. Creo que merece la pena invertir parte de tu tiempo en aplicarlos. Yo ya lo he hecho.

Si ves que te supone un tiempo desmesurado que no quieres emplear, olvídate de ello, contrata a alguien que te lo implemente.

Todo lo que te he comentado hasta ahora son puntos que están a tu alcance pero hay otros puntos que no son de tu competencia y pueden comprometer tu web.

Lo que no está a tu alcance

Si tu sitio web está alojado en un servidor compartido donde hay más usuarios y cada uno de ellos tiene una o varias páginas web, las buenas o malas prácticas que tus “compañeros de servidor” adopten junto con las buenas o malas prácticas que los administradores del servidor hayan establecido podrán comprometer o no tus páginas web.

Si la seguridad del servidor compartido se ve comprometida a pesar de que tu apliques estas buenas prácticas, es posible que te veas en un compromiso sin quererlo. Tu y yo tenemos una preocupación relativa sobre este punto porque hacemos copias de seguridad de nuestros sitios web y además las tenemos automatizadas.

Te digo algo que si está a tu alcance hacer

En SiteGround.Com, un proveedor que recomiendo, llevan a cabo una configuración en sus servidores compartidos para aislar las cuentas de usuario. Dicho de otro modo, si la cuenta de un “compañero de servidor” se ve comprometida, a ti no te afecta. Este detalle te permite estar bastante más tranquilo.

Si te encaja contratar un plan de alojamiento en SiteGround.Com y te cuadra que te pueda orientar al respecto, contacta conmigo y vemos como podemos abordarlo.

Contactar

En el siguiente artículo te mostraré como instalar e implementar las medidas de seguridad propuestas en el plugin Better WP Security en tu sitio web.


3 comentarios en “¿Cómo mejorar la seguridad en WordPress? Guía práctica”

Los comentarios están cerrados.