Skip to content

10 consejos básicos para mejorar la seguridad en WordPress

Calendario  

23 de agosto de 2023

person  

Jose Luis Modroño

2023-08-23 06:00:00 José Luis Modroño Comunicación online,Marketing

Consejos básicos para mejorar la seguridad en WordPress

Voy a seros sincero. Una página creada con cualquier CMS (sistema de gestión de contenidos), es susceptible de ser atacada por hackers del mismo modo que todos somos susceptibles de ser atropellados al caminar por una ciudad. No obstante, si miramos a los dos lados antes de cruzar y nos aseguramos de que está en verde, reduciremos las posibilidades del mismo modo que si aplicamos ciertas medidas de mantenimiento y seguridad en nuestras webs.

Hoy en día, el 43,1% de las webs que hay en internet están hechas con WordPress, lo que lo convierte en el CMS más usado con un 63,1% de cuota de mercado. Por todo ello hoy vengo a hablaros sobre aquellas medidas o consejos imprescindibles que podemos aplicar para mejorar la seguridad en WordPress

¿Por qué necesitas mejorar la seguridad de tu WordPress?

Es habitual encontrarse en la situación de tener que explicar que una página web no es algo que se hace, se paga y se descuida. Para evitar sustos, es preciso un mantenimiento posterior y periódico tanto de contenidos como de seguridad, aunque muchas veces no se intuyan amenazas hasta que realmente suceden (y créeme, si no andamos atentos, suceden, ¡vaya que si suceden!).

Para tratar de ser ilustrativo, me gustaba usar esta analogía: “Imagina que te propones construir una casa de madera. Tendrás que diseñarla y construirla. Luego podrás pasar a disfrutarla pero tendrás que preocuparte por mantenerla, ya que la madera necesita de ciertos tratamientos para aguantar el paso del tiempo o si no se pudrirá y la casa se acabará viniendo abajo”. Pues con una página web sucede lo mismo, y a nadie le interesa que se venga abajo…

¿Pero entonces WordPress no es seguro? En realidad, es un gestor de contenidos seguro, pero, como cualquier CMS, es susceptible de sucumbir a ataques si no se protege adecuadamente. La parte problemática no es el núcleo de WordPress, ya que sus ingenieros trabajan a diario blindándolo frente a vulnerabilidades. El “problema” (y nótense bien las comillas) es que al tratarse de un software de código abierto, su código fuente está disponible para todos, y esto es lo que lo hace tan grande pero, a la vez, tan dependiente de unas buenas labores de seguridad.

Me explico. Gracias a disponer de su código, los desarrolladores podemos crear a diario temas y plugins compatibles, tanto para nuestros clientes como para ponerlos a disposición de todo el mundo. Esto ha contribuido enormemente a la popularidad de WordPress, dado que existe una inmensidad de material disponible, tanto gratuito como de pago, con el que configurar y personalizar las páginas. Por otro lado, este código también está disponible para quien quiera buscar vulnerabilidades, ya sea para corregirlas o para aprovecharlas. Y ahí entra en juego la importancia de estar pendientes y aplicar activamente aquellas medidas que nos permiten mejorar la seguridad de WordPress.

Algunos problemas de seguridad comunes en WordPress

Tanto en mi época de desarrollador freelance como en mi paso por Bannister Global, creedme: “Yo he visto cosas que vosotros no creeríais. Atacar webs usando el nombre de usuario ‘admin’ más allá de Orion. He visto cambiar brillantes URLs para que apunten a sitios oscuros cerca de la puerta de Tannhauser… Todos esos intentos fallarán, gracias a las medidas de seguridad, y se perderán en el tiempo como lágrimas en la lluvia”. Algunas de las amenazas más habituales son:

  • Ataques de fuerza bruta. Un intento de inicio de sesión de fuerza bruta es un tipo de ataque en el que un hacker intenta adivinar el nombre de usuario y contraseña de un sitio web. Se suelen emplear programas automatizados que prueban miles de combinaciones posibles hasta que dan con la correcta o agotan todas las opciones.
  • Secuencias de comandos entre sitios XSS (Cross-Site Scripting). Intento de vulnerabilidad de seguridad común que permite al atacante inyectar código malicioso en una página web. Tras ello, cuando un usuario accede a la página web se ejecuta el código malicioso, pudiendo provocar robos de información o redireccionamientos a otros sitios web maliciosos con estafas o dedicados a distribuir malware.
  • Puertas traseras. Forma de acceso no autorizado y encubierto a un sitio web con el objetivo de proporcionar a los atacantes un acceso oculto y persistente para, como consecuencia, tomar el control total del sitio. Esto permite robar información sensible, distribuir malware o llevar a cabo otras actividades maliciosas. Estas puertas traseras pueden estar presentes en temas, plugins e incluso en el propio WordPress si no se aplican las debidas medidas de seguridad.
  • Ataques de denegación de servicio (DoS). Son un tipo de ataque diseñado para hacer que un sitio web sea inaccesible para cualquier usuario. Se consigue sobrecargando los servidores con una gran cantidad de solicitudes o tráfico malicioso, aunque, a veces, en vez de atacar al servidor se ataca a un plugin o funcionalidad concreta que también pueda provocar el agotamiento de recursos o bloquear el sitio web. Como consecuencia, la página va lenta o se vuelve completamente inaccesible.

Estos son algunas de las acciones que los hackers realizan para aprovecharse de las vulnerabilidades de WordPress y, ahora que ya las conoces, vamos a hablar de aquellas medidas que puedes aplicar para optimizar la seguridad de tu página web.

Medidas que te ayudarán a mejorar la seguridad en WordPress

Teniendo en cuenta todo lo anterior, y a sabiendas de lo que nos gusta hacer artículos con listas de consejos sobre temas web, aquí tienes algunas recomendaciones básicas para mejorar la seguridad en WordPress:

  1. Elegir un nombre de usuario único y específico. Un error muy común es utilizar ‘admin’ como nombre de usuario. Hacerlo es como servir en bandeja de plata la cabeza de tu sitio web a los hackers. Nuestro consejo es que procures elegir un nombre que sea fácil de recordar, pero lo suficientemente específico como para huir de convencionalismos.
  2. Usar contraseñas fuertes y únicas. Seguro que no usas “123456” como contraseña, ¿verdad? ¿VERDAD? Hoy en día existen un montón de páginas que nos ayudan a crear contraseñas seguras e incluso la mayoría de servicios en los que se nos pide crear una contraseña, cuentan con sistemas para medir la fortaleza de la contraseña y darnos feedback antes de que decidamos definirla como nuestra. No obstante, un consejo útil es usar una combinación que incluya números, mayúsculas, minúsculas y algún carácter, especial como “_” o “%” o “!”, entre otros.
  3. Implementar bloqueos temporales después de varios intentos fallidos de inicio de sesión. Una opción muy interesante para dificultar los ataques de fuerza bruta es limitar los inicios de sesión. Esto significa que, por ejemplo, podemos hacer que un usuario quede bloqueado durante 5 horas tras introducir mal la contraseña 3 veces. El número de intentos y las horas de bloqueo podemos configurarlas cómodamente con plugins de seguridad como los que veremos más adelante.Consejo: Si solamente vas a entrar tú a WordPress, un bloqueo tras tres intentos con un largo período de tiempo de bloqueo puede ser aconsejable, ya que es más complicado que te equivoques. Si tu cliente va a tener acceso al WordPress para crear contenidos, quizá sea recomendable que establezcas un límite un poco más flexible. Al final de lo que se trata es de fastidiar las automatizaciones de los hackers y poner límites a su fuerza bruta.
  4. Mantener el software de WordPress y la versión de PHP actualizados. Como comentamos anteriormente, los ingenieros de WordPress trabajan duro día a día para velar por la seguridad de su CMS. La versión de WordPress va cambiando poco a poco para reflejar esas medidas de seguridad, por lo que es nuestra responsabilidad actualizarla con cierta asiduidad.Por otro lado, PHP es uno de los lenguajes de programación del lado del servidor más populares y utilizados en el desarrollo web, debido a su flexibilidad y capacidad para interactuar con bases de datos y servidores web. Dado que WordPress se basa en este lenguaje, es importante mantener actualizada la versión de PHP por razones de seguridad, rendimiento, compatibilidad y soporte técnico.
  5. Mantener los plugins actualizados, verificando que sean compatibles con la versión de WordPress y PHP. Del mismo modo que la propia versión de WordPress o la de PHP son más seguras cuanto más actuales sean, lo mismo sucede con los plugins. Eso sí, es crucial verificar que las nuevas actualizaciones sean compatibles con nuestra versión actual de WordPress y de PHP.
  6. Mantener los temas de WordPress actualizados. Otro de los imprescindibles a mantener actualizados en nuestro entorno de WordPress son los temas. Salvo que utilices alguno gratuito o creado a medida por ti, te recomiendo que antes de comprar un tema te informes muy bien de qué cobertura ofrece su creador y durante cuánto tiempo te asegura una cobertura de mantenimiento, porque luego vienen las sorpresas (y en lo que tiene que ver con nuestra web, no queremos sorpresas).
  7. Usar listas negras para bloquear nombres de usuario y direcciones IP. Puede que no te des cuenta hasta que instalas algún plugin de seguridad, pero nuestros sitios web reciben intentos de ataque mucho más a menudo de lo que podemos imaginar. Estos plugins nos avisan de qué nombres de usuario se están intentando usar para acceder a nuestra web y desde que IP se está ejecutando el ataque. Una buena práctica es bloquear aquellos nombres de usuario que se estén intentando usar, junto a las IP desde las que se ataca.Nota: Es cierto que hoy en día con la existencia de VPN, el bloqueo de IP puede parecer un sinsentido, pero en ocasiones hay direcciones IP que se repiten y conviene tenerlas bloqueadas.
  8. Modificar, si es necesario, la ruta a la página de acceso al inicio de sesión de WordPress. Por defecto, la ruta que se suele seguir para acceder a un sitio de WordPress es la URL principal de nuestro sitio seguida de “/wp-admin” o “/wp-login.php” y los hackers lo saben. Algo que van a intentar aprovechar, pero, si se diese el caso, podemos usar plugins de seguridad para modificar dicha ruta. Siempre va a ser más difícil que accedan si ahora la ruta de acceso es “/hodor” o “/accesoamiwordpressparaquenadieintentehackearme”. Lo de que sean nombres bonitos y elegantes te lo dejo a ti.
  9. Usar plugins de ciberseguridad para WordPress como Wordfence Security o All In One WP Security. Tal y como comentamos anteriormente, existen numerosos plugins dedicados a gestionar e implementar las medidas de seguridad de nuestro WordPress. De entre todos ellos destacamos Wordfence Security y All In One WP Security. Ambos plugins son muy potentes en su versión gratuita, proporcionando una cobertura más que suficiente para mantener tu sitio web seguro de malware. No obstante, cuentan con una versión PRO que permite elevar el plugin a un nivel de protección más poderoso y eficaz.Consejo: Para la mayoría de sitios web obtendrás muy buenos resultados configurando adecuadamente las funcionalidades de la versión gratuita de cualquiera de los dos plugins.
  10. Realiza backups de tu sitio web periódicamente. En primer lugar, hay que destacar que un backup de una web consiste en una copia de seguridad de la propia página web y de su base de datos. Una cosa sin la otra no va a sacarte de un apuro. Existen varias opciones a la hora de realizar los backups:
    • Backups desde el hosting: Generalmente los propios proveedores de alojamiento o hosting cuentan con un sistema de backups que es interesante programar para que realice copias de seguridad periódicas que nos sirvan para restaurar nuestra web en caso de fallos o ataques.
    • Backups desde plugins: Existen diversos plugins que nos permiten realizar backups de nuestra web. Simplemente os recomendamos informaros bien antes de depositar vuestra confianza en ellos, ya que muchas veces permiten hacer el backup pero cobran por restaurarlo o no permiten hacer backups de más de determinado tamaño. Para evitar sustos es mejor que os informéis todo lo posible y que hagáis alguna prueba de restauración antes de confiar vuestra web a esos plugins.
    • Backups vía FTP: Una de las opciones más recomendables es crear un usuario FTP con el que poder conectarnos al servidor en el que está alojada nuestra página web (imprescindible para realizar labores de mantenimiento de una web de WordPress a un nivel profesional). Este acceso, entre muchas otras cosas, nos sirve para realizar copias de seguridad de nuestra web y posibles restauraciones.

      Consejo: Independientemente de que haya backups programados, si crees que has trabajado en cambios muy cruciales o vitales para tu web, nunca está de más llevar a cabo una nueva copia de seguridad tras terminar ese gran trabajo. Además, recomiendo encarecidamente hacer un backup general de la web antes de actualizar la versión de WordPress, de PHP, del tema o de los plugins.

Nunca me cansaré de decir que una página web es un ente vivo que requiere de mimo y cuidados frecuentes. Aunque, desgraciadamente, cualquier página es susceptible de recibir ataques, está en nuestra mano minimizar el riesgo con ciertas medidas que nos permitan mejorar la seguridad en WordPress, evitar sustos y disfrutar de una web funcional y segura. Mimemos nuestras páginas como se merecen.

¿Quieres saber más?

Sigue la conversación en: