En esta guía sobre cómo proteger WordPress, vamos a explicarte porque hoy en día es mas importante que nunca, los riesgos que corres y cómo implementar una buena seguridad para prevenir ataques malintencionados. Después de todo, tu sitio es parte esencial de tu negocio.

Como es un post bastante extenso, hemos agregado un índice de contenidos para facilitar su navegación. Así que empecemos por ver cuales son los puntos a cubrir en esta completa guía para proteger WordPress…

Por qué proteger WordPress

Como ya sabrás, WordPress es una plataforma de contenido muy popular, actualmente más del 33% de todos los sitios en la web corren sobre ella, aproximadamente 20 millones de sitios y mas de 500 son construido diariamente alrededor del mundo.

Por su popularidad, WordPress es el CMS que sufre más ataques.

En un estudio conducido por Wordfence, uno de los plugins de seguridad para WordPress más robustos, se reportó que existen más o menos 90,000 ataques a sitios de WordPress por minuto. Si, dije… POR MINUTO.

Sucuri ha reportado en su último Hacked Website Trend Report, que los 3 CMS más infectados son WordPress con un 83%, mientras que Joomla tiene un 13.1% y Magento solo un 6.5%.

Wordpress es el CMS más infectado - WPCafeina

En pocas palabras, esto quiere decir que si tu sitio nunca ha sufrido un intento de ataque, simplemente haz corrido con mucha suerte.

WordPress no es una plataforma insegura

Aun con todas estas estadísticas de terror, tenemos que decir que WordPress no es realmente una plataforma insegura.

El riesgo se crea más bien en el hecho que WordPress es una plataforma open source, es decir gratis, de uso libre y que depende de la administración de cada propietario. La mayoría de los casos donde se presenta este tipo de vulnerabilidades es por una mala configuración, el uso de temas y plugins que no son seguros y por un mal cuidado.

Para ser un poco más específicos…

  • 8% de los sitios WordPress son atacados debido a una contraseña débil
  • 61% de los sitios infectados están desactualizados
  • 52% de las vulnerabilidades son causadas por Plugins
  • 37% de las vulnerabilidades resultan por el sistema de WordPress
  • 11% son causadas por temas
  • 30.95% de los sitios aún corren sobre la versión 3.6 de WordPress, considerada una versión insegura

Los plugins, a pesar que son excelentes herramientas para ayudarte a implementar funcionalidades en tu sitio, es uno de los mas grandes problemas porque cada uno de ellos representa la posibilidad de nuevas vulnerabilidades.

Vulnerabilidades de los plugins de WordPress - WPCafeina

El programa de WordPress es mejor supervisado y sus vulnerabilidades son parchadas en cuanto se presentan, pero los plugins en su mayoría son creados por independientes que pueden tardar mas en reaccionar o simplemente los descuidan.

Ahora pregúntate lo siguiente:

  • ¿Qué tipo de medidas has tomado para proteger tu sitio WordPress?
  • ¿Cuándo fue la última vez que actualizaste WordPress?
  • ¿Cuándo fue la última vez que actualizaste su tema o los plugins que utilizas?
  • ¿Alguna vez has hecho un scan de seguridad para analizar su salud?

¿Te asustaste o todavía no?

¿Qué peligros corre tu sitio?

El 61.5% de los dueños de sitios afectados no sabe qué fue lo que comprometió su sitio.

Siempre se habla de la seguridad, pero te aseguro que ni siquiera tienes muy claro cuales son los peligros a los que tu sitio se expone o cuales son las consecuencias.

No voy a aburrirte con los diferentes tipos de ataques que existen como los intentos de acceso con fuerza bruta, puertas traseras en el código PHP, ataques DDoS, Phishing y otros términos raros que no necesitas aprender, pero sí es importante tener una idea de lo que está en riesgo.

Estos ataques pueden:

  • Retener el acceso a tu sitio
  • Comprometer el SEO
  • Abusar los recursos del servidor
  • Hacer que la página de inicio de un sitio web inutilizable
  • Obtener información confidencial de sus usuarios como credenciales o tarjetas de crédito

La “Lista Negra” de Google

Imagínate que tu sitio ha sufrido un ataque, encima de tener que resolver ese problema, que te aseguro que es muy tedioso aparte de la incertidumbre de no saber muy bien que pasa, también tienes que preocuparte de que Google no te agregue a su “Lista Negra” de sitios infectados y si ya lo ha hecho, como salir de ella.

¿Lista Negra?

Cada semana, Google agrega aproximadamente 20,000 sitios con malware y 50,000 por phishing a su lista de sitios infectados.

Esto obviamente se hace para proteger a los usuarios, pero mientras tanto tu sitio ha sido reemplazado por esta horrible pantalla que previene tus visitas. No hace falta decir que esto te puede hacer perder tráfico y posiblemente dinero.

Advertencia de Google para sitios infectados - WPCafeina

Y la de Google no es la única, existen cientos de otras listas negras.

Cómo enterarte si tu sitio está en una lista negra

Hay diferentes formas para saber si tu sitio ha sido agregado a una de estas listas negras.

Desde tu Administrador

Lo ideal es que sea parte de tu seguridad. Ya hablaremos de esto en un momento, así que solo voy a mencionar que un buen plugin de seguridad debe incluir el monitoreo de estas listas y mostrar esta información dentro de tu propio administrador.

Scan de seguridad

También puedes enterarte por medio de un scan de seguridad como el de Sucuri, del que te hablare en el siguiente punto de esta guía.

Reportes de Listas Negras

La otra opción es realizar una búsqueda de tu sitio en los informes de listas negras, o como se les llama comúnmente en ingles, Blacklist Checker. Aquí te dejo algunos:

Este es un ejemplo del resultado que arroja Geek Flare para el sitio de WPCafeina…

Informe de listas negras para sitios infectados - WPCafeina

¡Basta! Sí, es todo un desastre… ¿Podemos hablar de cómo prevenir este Tsunami de consecuencias fatales?

Cómo proteger tu sitio WordPress

Ahora sí, ya que tenemos más claro el problema y sus consecuencias, vamos a prevenirlo.

Paso 1: Análisis de Seguridad de WordPress

Obviamente lo primero será enterarse del estado de salud actual de tu sitio.

Tienes que hacer es un scan de seguridad, que vendría a ser realmente como un examen de rayos X para tu sitio. Para esto puedes la herramienta Sitecheck de Sucuri, que además es gratis.

El Scan de Sitecheck analiza si tu sitio:

  • tiene algún malware
  • forma parte de alguna lista negra
  • tiene errores
  • o hay programas que no estén actualizados

En esta imagen puedes ver un ejemplo de los resultados de un scan…

Escaneo de seguridad de WordPress - WPCafeina

Como puedes ver…

  • El sitio tiene un riesgo de seguridad mediano
  • El motivo es que el código PHP no está actualizado pero no existe ninguna otra vulnerabilidad
  • No se ha detectado malware ni spam
  • No hay errores en el servidor
  • No ha sido incluido en ninguna lista negra
  • Pero no se ha detectado un Firewall, un componente de seguridad importante
  • Y tampoco tiene un sistema de monitoreo de seguridad, que te puede enviar una alerta en caso de detectar cualquier riesgo

Hay otras formas de escanear tu sitio, por ejemplo con un plugin de seguridad de los que ya hablaremos en un momento, o hasta con extensiones de Chrome como en el caso de Checkbot.

Escaneo de seguridad de WordPress - WPCafeina

Lo más importante de hacer este scan es enterarte de cualquier problema presente y de lo que necesitas implementar para proteger WordPress.

Ahora vamos a blindar tu sitio para que nada lo pueda penetrar.

Paso 2: Plugin de Seguridad para WordPress

Esto es probable lo más importante para proteger WordPress, porque existen plugins de seguridad muy completos que cubren muchas de las necesidades.

Ya verás que hay plugins gratuitos y otros de pago, tu tienes que preocuparte de cuál es el que te conviene. Lo que sí te podemos decir es que cuando se trata de seguridad, a veces es mejor gastar unos pesos y dormir tranquilo.

Estos son algunos de los plugins más completos y conocidos en el mercado:

iThemes Security

iThemes Security plugin de seguridad de WordPress - WPCafeina

El plugin de seguridad para WordPress de iThemes ofrece una versión gratis que cuenta con más de 900,000 descargas y más de 3,000 reviews de 5 estrellas y la versión de pago iThemes Security Pro que por $80 al año te permite proteger 2 sitios e incluye todos sus beneficios.

Sucuri

Sucuri plugin de seguridad de WordPress - WPCafeina

Sucuri también cuenta con su popular versión gratis para WordPress, que además no se queda atrás en popularidad con más de 400,000 descargas. El precio de la versión premium es un poco más elevado, el plan básico para un solo sitio es $199/año.

Protección para cualquier tipo de sitio, no solamente WordPress.

Wordfence Security

Wordfence plugin de seguridad de WordPress - WPCafeina

Más de 2 millones de descargas de su versión gratis lo dicen todo. La versión premium te cuesta $99/año que no está nada mal.

Otros plugins para proteger WordPress

Aparte de los 3 principales hay muchas otras opciones mas que también se merecen que los tomes en consideración…

Cómo elegir tu plugin de seguridad de WordPress

Cuando estés eligiendo tu plugin, debes asegurarte que este incluya lo siguiente:

  • Scan de seguridad
  • Detección de malware
  • Monitoreo de listas negras
  • Monitoreo de vulnerabilidades
  • Detección de cambios en tus archivos
  • Alertas
  • Protección de fuerza bruta
  • Firewall

Bueno, con eso tienes suficiente información y opciones de las mejores herramientas para tomar una buena decisión.

Es probable que en este momento no conozcas algunas de estas cosas, no te preocupes porque las veremos paso a paso de una forma muy sencilla. Te prometemos que para proteger WordPress no tendrás que aprender nada fuera de este planeta.

Paso 3: Actualiza WordPress, temas y plugins

61% de los sitios de WordPress infectados son sitios que están desactualizados.

Actualizar siempre a la última versión es probablemente lo más fácil de hacer en lo que respecta a la seguridad de WordPress, pero también es algo que la mayoría olvida o simplemente no lo hace porque ignoramos su importancia.

Los programas siempre están evolucionando, no solamente en cosas que vemos en el frente como usuarios, muchas veces son mejoras que tienen que ver más con el back-end, incluyendo en la parte de seguridad. Puede ser que algo nuevo que se lanzó en una versión haya causado algunas vulnerabilidades que se han resuelto en la versión siguiente.

En este caso, que se trata de un programa open source, en el que colaboran programadores independientes alrededor de todo el mundo, es mucho más factible.

Lo que debes actualizar

Las cosas que debes actualizar periódicamente son:

  • Los archivos “Core” o las nuevas versiones de WordPress
  • El tema que utilizas
  • Todos los plugins instalados en tu sitio (Recuerda que dijimos que los plugins son lo que representan mayores vulnerabilidades)

Cómo enterarte si hay actualizaciones disponibles

WordPress puede hacer actualizaciones menores y de reparación automáticamente, pero las versiones más completas tienen que ser iniciadas manualmente, al igual que las actualizaciones de los plugins y los temas.

Hay 3 formas que puedes enterarte si nuevas versiones han salido y están disponibles para que las instales.

1) En tu Administrador

El Administrador de WordPress tiene una sección llamada “Actualizaciones” o “Updates” en donde te indica si existen nuevas versiones de WordPress, temas y plugins. La puedes encontrar fácilmente en el menú de la izquierda.

mantener WordPress actualizado - WPCafeina

Esto es algo que ya trae WordPress por defecto, no tienes que hacer nada mas que estar atento y hacer las actualizaciones cuando estén disponibles.

Pero… también es muy fácil olvidarse, así que veamos cómo podemos hacer algo que realmente llame tu atención.

2) Recibe alertas

Si eres una persona que no entra tan seguido a su administrador, una buena solución puede ser el tener notificaciones por correo que te avisen si hay nuevas versiones de WordPress, plugins y temas disponibles que debes instalar.

3) Actualizar automáticamente

Existen algunos plugins que te permiten configurar tu sitio para que las actualizaciones, tanto de WordPress, temas y plugins, se hagan de forma automática.

Pero actualizar todo de forma automática, es decir sin ninguna supervisión, tampoco es una buena idea.

La forma inteligente para manejar la actualizaciones de WordPress y sus componentes

Tenemos claro entonces que lo que necesitamos son 3 cosas:

  • Estar siempre enterados de la actualizaciones disponibles
  • Realizar estas actualizaciones inmediatamente
  • de una forma supervisada

Para lograr esto te vamos a recomendar un plugin llamado Easy Updates Manager que, ademas de enviarte notificaciones por correo, también te permite configurar las actualizaciones de diferentes formas:

  • Todas las actualizaciones de forma manual
  • Todas las actualizaciones de forma automática
  • Ciertas actualizaciones de forma automática y otras manual

Easy Updates Manager cuenta con una versión gratuita y otra premium que incluye respaldos automáticos antes de cualquier actualización y otras funciones que quizás quieras considerar. La licencia premium para 2 sitios cuesta solamente $29 por año.

Actualizar WordPress, temas y plugins - WPCafeina

¿Qué actualizaciones deberían ser automáticas?

Solamente recomendaríamos actualizar automáticamente y sin la supervisión directa de un ser humano en el caso de un plugin que sea muy sólido y de muy buena reputación que ademas no interfiera en cosas de diseño, por ejemplo Yoast SEO que es actualizado constantemente pero conocemos su historial y confiamos plenamente.

De lo contrario es mejor tomar un par de minutos extras.

Para esto no se necesita saber de código ni nada de eso, no hay excusa que valga, ya sea que utilices una herramienta o simplemente agregues un recordatorio semanal en tu calendario, la cosa es que hay que mantener WordPress bien actualizado. SIEMPRE.

Paso 4: Respaldos automáticos de WordPress

Asegúrate que esto no te pase nunca…

Cliente: Parece que mi sitio ha sido infectado ¿Me puedes ayudar?
Programador: Claro, no te preocupes ¿en donde tienes tu último respaldo?
Cliente: Hmm… No, no tenemos respaldos
Programador…

Si te has preocupado de que tu sitio sea respaldado periódicamente, el problema podría ser solucionado en unos pocos clics, pero cuando no tienes respaldo corres el riesgo de que tu sitio no pueda ser restaurado.

¿Qué es un respaldo?

Un respaldo es una copia de tu sitio completo que puede ser almacenado en un lugar específico al que tengas acceso en caso de necesitarlo y que puede ayudarte a restaurarlo en caso que algo suceda.

No tener un respaldo significa que la única copia de tu sitio es la que está en vivo.

Lo más frustrante de que le pase algo a tu sitio y no tener un respaldo es darte cuenta lo fácil y rápido que hubiese sido implementar una solución.

Cómo deben ser los respaldos de tu sitio

Empecemos por las cosas que debes considerar para tener una buena estrategia de respaldos:

Respaldar periódicamente

No basta con que tengas un respaldo que hiciste hace un año porque tu sitio, especialmente si es WordPress, está siempre cambiando, ya sea por sus actualizaciones, sino también por su contenido.

El contenido que has creado o cambios de diseño que haz hecho después del último respaldo se perderá en el momento que tengas que usar esa copia para restaurar tu sitio.

Por eso debes respaldar tu sitio periódicamente. Los respaldo pueden ser programados de forma diaria, semanal o mensual dependiendo de la frecuencia en la que tu sitio cambia.

Respaldos automáticos

Respaldos automáticos de WordPress - WPCafeina

Aunque los respaldos pueden hacerse manualmente y además debes asegurarte de tener esa posibilidad, lo ideal es que sean programados para que sucedan de forma automática, sin requerir de tu presencia o supervisión.

Una vez que esto es establecido, lo mas que tendrás que hacer es asegurarte de vez en cuando que tu sitio está siendo respaldado como lo programaste.

Respaldos manuales

Respaldos manuales de WordPress - WPCafeina

Además de la capacidad de hacer respaldos automáticos también es importante poder hacerlo manualmente cuando lo necesitas.

Hacer respaldos manuales es necesario principalmente antes de realizar cambios a tu sitio, por ejemplo si estás realizando un rediseño, vas a cambiar de tema o incluso una actualización importante de WordPress como la que recientemente introdujo el nuevo editor Gutenberg.

Qué deben incluir tus respaldos

Qué deben incluir los respaldos de WordPress - WPCafeina

Debes asegurarte que tus respaldos incluyan todos los componentes de tu sitio. Si tus respaldo incluyen todo el sitio, temas, plugins, pero no incluye la base de datos, cuando tengas que restaurar tu sitio te darás cuenta que tu sitio está, pero no su contenido.

Tus respaldos deben incluir:

  • Los archivos “Core” de WordPress
  • La carpeta WP-content que incluye los temas, plugins y uploads como imágenes y otros tipos de media
  • La base de datos que incluye las páginas, posts, categorías, usuarios, etc.

Donde almacenar tus respaldos

Dónde guardar los respaldos de WordPress - WPCafeina

Los respaldos nunca deben ser almacenados dentro del mismo servidor por motivos obvios. De la misma manera, si mantienes los respaldos en tu computador y le pasa algo…

La forma más inteligente de almacenar los respaldos de tu sitio es:

  • En la nube – Servicios como Dropbox o Google Drive
  • En un servicio de respaldos – Como Vaultpress
  • En un disco duro externo o USB

Lo principal es que tengas control de su destino y fácil acceso a tus archivos.

Herramientas para hacer respaldos de WordPress

UpdarftPlus: Respaldos para WordPress - WPCafeina

Existen varias opciones para obtener respaldos, hay plugins gratis, premium y también servicios externos. Ya que hemos visto las características de un buen respaldo, será más fácil que tomes una buena decisión.

Aquí tienes algunas opciones:

Si no cuentas con mucho tiempo el día de hoy, instalar UpDraftPlus y hacer un respaldo manual no te tomará mucho y por lo menos por hoy puedes dormir tranquilo.

Paso 5: Seguridad en el Hosting (Alojamiento)

Protección de tu servicio de hosting

El primer paso debe ser enterarte de que medidas toma el servicio de hosting que has contratado, por ejemplo:

  • La protección que ofrece al servidor y a tu sitio (son dos cosas diferentes)
  • Existe algún escaneo de tu sitio y con que frecuencia
  • Ofrece algún tipo de seguridad extra que tu puedas contratar
  • La postura ante el caso de un ataque
  • Ayuda en el caso que tu sitio haya sido infectado

Estas cosas las puedes averiguar con una simple visita a su sitio o una llamada, no es algo demasiado técnico que no vayas a entender.

Por ejemplo, GoDaddy ofrece servicios adicionales de protección, respaldos y para remover malware empezando en $6.99. Los servicios de alojamiento gestionado probablemente ya lo incluyan dentro de sus paquetes, pero pueden ser un poco más caros.

Protección de WordPress: Alojamiento - WPCafeina

Diferentes tipos de hosting y su seguridad

Si, existen diferentes tipos de alojamiento y, aunque te cuestiones si esto tiene alguna relevancia con el tema de la protección de WordPress, es más importante de lo que crees.

Estas son las definiciones rápidas y en lenguaje para seres humanos…

Hosting compartido

Es básicamente un servidor en el que son alojados múltiples sitios. Son quizás los mas baratos, pero corres riesgos no solamente con tu sitio, sino también en el caso de que uno de los otros sitios en el servidor sea infectado. Haz de caso que tu sitio vive en un edificio de apartamentos.

Hosting dedicado

Tu sitio vive en su propio servidor, sin compartirlo con nadie. En este caso tienes más independencia y control, ademas ya no corres con el peligro de que uno de tus vecinos sea infectado o este sufra ataques constantemente y termine infectando a tu sitio. Obviamente tienen un precio más elevado y son generalmente contratados por sitios con mas trafico. Para seguir con el ejemplo, tu sitio ahora vive en su propia casa.

Alojamiento gestionado

La ultima ola del hosting, el alojamiento gestionado con un enfoque en WordPress. Estos servicios se han preocupado de crear un ambiente ideal para este tipo de sitios y sus necesidades especificas incluyendo actualizaciones automáticas de WordPress, temas y plugins.

Estos servicios ofrecen una protección más robusta para WordPress en sus servidores y, como son especializados, también se les hace más fácil supervisar cualquier vulnerabilidad.

WPEngine: Alojamiento gestionado de WordPress - WPCafeina

Si te interesa saber mas acerca de estos hosting gestionados, aquí te dejo algunos:

Creo que que aquí tienes ya la información básica para tomar una decisión de que tipo de alojamiento para WordPress te conviene mas para la seguridad de tu sitio.

Paso 6: Selecciona bien tus temas y plugins

Este punto es mas critico de lo que estás pensando, porque…

  • El 52% de las vulnerabilidades reportadas por WPScan son causadas por plugins
  • 11% de las vulnerabilidades son causadas por temas
  • En el 2017, 4000 sitios WordPress fueron infectados con malware proveniente de un plugin falso de SEO

¿Un plugin FALSO?

Bueno, no es un caso común, pero por lo que sí debes preocuparte es que los temas y plugins pueden volverse obsoletos porque no son mantenidos por sus creadores o pueden no ser compatibles con una nueva versión de WordPress y esto puede causar errores en el código o crear vulnerabilidades de seguridad.

Para prevenir problemas causados por temas y plugins vamos a recomendarte dos cosas…

Limpia lo que no estás usando

Algo que vemos muchísimo en sitios de clientes es una gran cantidad de temas y plugins que quizás en algún momento se utilizaron o se probaron y nunca fueron borrados, algunos dieron de baja su activación y otros los han dejado activos aunque no se usen.

Esto no solamente puede causar que estos plugins están consumiendo recursos de tu servidor, además son una amenaza para la seguridad de tu sitio.

Esta es una tarea que puede tomarte 10 minutos:

  • Haz un respaldo antes
  • Desactiva los plugins uno por uno mientras observas que nada raro suceda en tu sitio
  • Ya desactivados, borra todo
  • Ahora a la sección de Temas y borra todos los que no estés usando

Usa solamente temas y plugins de calidad

Suena lógico pero… ¿Cómo evalúas la calidad de un plugin para decidir si vale la pena instalarlo o no?

Pues existen varias indicaciones para darte cuenta fácilmente:

  • Cuantas personas lo han instalado
  • Las reseñas que le han dado sus usuarios
  • La valoraciones
  • Actualizaciones frecuentes y cuando fue la última
  • La compatibilidad con la versión actual de WordPress
  • Cuenta con un enlace al sitio o una página de contacto

Todas esta cosas las puedes saber con una simple visita a la página del plugin en WordPress.org, como puedes ver en esta imagen.

Proteger WordPress: Usar temas y plugins de calidad - WPCafeina

Hay que mencionar que UpdraftPlus es un ejemplo de una reputación excepcional y básicamente lo puedes instalar con los ojos cerrados, pero no todos los plugins son así.

Paso 7: Usar credenciales seguras

Los ataques de fuerza bruta son simplemente intentos por adivinar una contraseña y, aunque existen métodos muy efectivos para su prevención, el estudio de Wordfence dice que este problema representa un 16.1% de los sitios penetrados.

Hay cosas que son demasiado obvias, como usar un usuario que se llame “Admin” o una contraseña “1234” o con tu fecha de nacimiento. Este tipo de cosas le hacen la vida mucho más fácil a un hacker.

Debes usar credenciales que sean impenetrables.

Si no estas seguro si tu contraseña es lo suficientemente fuerte, ponla a prueba ahora mismo. How secure is my password es una herramienta gratis de Dashlane que te permite ingresar tu contraseña, te dice cuanto tiempo le tomaría a un computador adivinarla y te da consejos de como mejorarla.

Prueba la seguridad de tu contraseña de WordPress - WPCafeina

Cómo crear una contraseña segura

¿Cómo es entonces una contraseña segura?

Sucuri recomienda los siguientes elementos como parte de una contraseña segura:

  • Por lo menos 1 letra mayúscula
  • Por lo menos 1 letra minúscula
  • Por lo menos 1 número
  • Por lo menos 1 caracter especial
  • Mínimo 10 caracteres, con no más de 2 caracteres iguales seguidos

Pero aparte de tu contraseña, existen otras áreas de vulnerabilidad que se deben cuidar.

Borra la cuenta “admin” por defecto

Cuando instalas WordPress se crea una cuenta “Admin” automáticamente, que es la cuenta que tu como administrador usarás para ingresar.

Una vez que estés adentro de tu administrador de WordPress, crea una nueva en la sección de “Usuarios” o “Users” con permisos de administrador y una dirección de correo diferente, ya que la has creado puedes borrar la cuenta original.

Credenciales de tus usuarios

Las credenciales de los usuarios de tu sitio también deben ser contra balas, porque ellos también están ingresando. De que te sirve tener una contraseña impenetrable si tu diseñador tiene una muy débil. Has construido una fortaleza y él deja la puerta delantera abierta.

Ya te estarás preguntando cómo asegurarte de que sea así cuando no tienes control sobre esas personas.

WordPress genera automáticamente una contraseña que es muy segura, pero aunque el medidor indica el nivel de seguridad debajo del campo, el usuario puede modificarla aunque no sea fuerte.

Contraseñas seguras para WordPress - WPCafeina

Pero si es posible obligar a todos los usuarios de tu sitio a que utilicen contraseñas seguras.

Una de las mejores herramientas para esto es el plugin Password Policy Manager for WordPress de WP White Security.

Contraseñas seguras de los usuarios de WordPress - WPCafeina

Con esta herramienta tu puedes:

  • Forzar a cada usuario a crear una contraseña segura
  • Crear fechas de expiración para que después de un tiempo es usuario tenga que renovar su contraseña
  • Reiniciar las contraseñas de todos tus usuarios si crees que puede existir alguna vulnerabilidad en tu sitio
  • No permitir la creación de contraseñas que ya se han usado en el pasado

Este plugin es premium y tiene un costo de $21, pero créeme que los vale.

Si prefieres una alternativa gratis puedes considerar Force Strong Passwords que también es muy conocido.

Credenciales relacionadas

Un ladrón no siempre entra por la puerta principal de una casa, así mismo un ataque malicioso puede penetrar tu sitio por diferentes lugares.

Por eso también tienes que ser cuidadoso con las contraseñas que usas en:

  • La cuenta donde se aloja tu sitio (GoDaddy, WPEngine, etc.)
  • La base de datos de tu sitio – Esta contraseña normalmente la creas cuando estas instalando WordPress
  • Tu cuenta de correo electrónico relacionada con tu sitio
  • Tu conexión al servidor por medio de FTP

Pero… Estas contraseñas son imposibles de recordar

Claro, aunque quieras memorizar una cosa como “Rx76&tr7des#” no es recomendable que uses la misma contraseña en todos tus servicios.

Para eso existen servicios como Password1 o LastPass que ayudan a administrar todas tus credenciales en solo lugar, pero eso ya es harina de otro costal…

Paso 8: Limita los intentos de acceso al Administrador

Este punto es uno de los más importantes en esta guía para proteger WordPress porque hablamos de cómo prevenir una de las formas más comunes que utilizan los hackers para penetrar un sitio.

Me refiero a los ataques de fuerza bruta y, solo para darte una idea de lo masivo y frecuentes que son estos ataques, aquí te comparto una estadística que da miedo…

Según los estudios de Wordfence, en Marzo del 2017 fueron detectados 34 millones de ataques de fuerza bruta al día.

Ataques de fuerza bruta a WordPress - WPCafeina

¿Qué es un Ataque de Fuerza Bruta?

Un ataque de fuerza bruta es una técnica de prueba y error para penetrar en un sitio, básicamente se trata de adivinar las credenciales de acceso a tu administrador, como si alguien estuviera probando miles de llaves para abrir tu automóvil.

Los hackers utilizan programas especiales que les permite realizar muchísimos intentos hasta lograr adivinar la información necesaria para obtener acceso, además pueden disfrazarse detrás de diferentes dirección de IP y ubicaciones, lo que hace más difícil poder detectarlos.

Riesgos de un Ataque de Fuerza Bruta

Ya sea que tu sitio sea penetrado o se trate simplemente de un intento fallido, existen riesgos que debes tomar en cuenta en ambos casos.

Un ataque de fuerza bruta exitoso es cuando se logra ingresar a tu administrador de WordPress, en este caso toda su información queda totalmente expuesta, incluyendo la de tus usuarios y clientes, además pueden instalar malware o crear puertas traseras que les permitirá volver a penetrar el sitio.

Por otro lado, aunque un intento fallido pueda sonar como una buena ocasión para celebrar, también puede tener repercusiones graves. Un ataque puede realizar intentos hasta el punto de hacer que tu servidor se ponga muy lento o incluso tirarlo abajo.

Cómo prevenir los Ataques de Fuerza Bruta

En otros puntos de esta guía hablamos usar contraseñas seguras, instalar un plugin de seguridad y otras que ayudan a prevenir estos ataques, pero ahora vamos a hablar de una de las técnicas más efectivas…

Limitar los intentos de acceso al Administrador

Seguro que esto te ha sucedido alguna vez, te has olvidado de la contraseña del sitio de tu cuenta bancaria, de Gmail o algún otro servicio, intentas 2 o 3 veces y el sitio te bloquea para impedir que sigas intentando.

El problema es que WordPress por defecto no limita los intentos de iniciar sesión, lo que quiere decir que un hacker puede seguir intentando todas las veces que quiera.

Lo que tenemos que hacer es decirle a WordPress que solamente permita un número de intentos y bloquear al usuario para que no siga intentando.

Las herramientas

Por supuesto que algunas de las herramientas de seguridad que hemos mencionado, como iThemes Security, Sucuri o Wordfence, cuentan con opciones para limitar el número de intentos, pero también existen plugins que se dedican exclusivamente a esta tarea.

Limita los intento de acceso a tu administrador de WordPress - WPCafeina

Con estos plugins puedes configurar diferentes opciones como:

  • El número de intentos permitidos
  • Por cuanto tiempo se bloquea al usuario
  • Bloquear una dirección de IP indefinidamente
  • Reportes de intentos fallidos
  • Notificaciones

Aquí te compartimos algunos de los plugins para limitar los intento de iniciar sesión en tu administrador de WordPress:

Estos plugins son muy fáciles de configurar, así que si no cuentas con una estrategia de seguridad más robusta, empieza por instalar uno de ellos hoy mismo. No lo olvides, son 34 millones de ataques de fuerza bruta al día.

Paso 9: Agregar un Certificado SSL

Siento decirte que esto dejó de ser un simple consejo, el uso de Certificados SSL es prácticamente un requisito de Google.

Qué es esto del HTTPS y los Certificados SSL

Seguramente has notado la diferencia entre un sitio HTTP y uno HTTPS en la barra de dirección de tu navegador. Si no has prestado atención, se ve así…

Protege WordPress con un certificado SSL - WPCafeina

“Secure HTTP” o HTTPS es un método que establece una conexión segura entre el navegador del usuario y tu servidor para proteger la información que viaja entre ellos por medio de formularios de contacto, transacciones de dinero, etc.

En otras palabras, si tu utilizas un formulario de contacto en un sitio que no es HTTPS, estás exponiendo tu información en una conexión que puede ser más fácilmente penetrada.

Pero… ¿Cómo conviertes tu sitio de HTTP a HTTPS?

Lo que convierte a tu sitio es el SSL que certifica ese tipo de conexión. Tu sitio entonces cuenta con una identificación única.

¿Por qué es tan importante tener un Certificado SSL?

Además de exponer la información de los usuarios de tu sitio, que no es algo menor…

Google ha anunciado ya hace un tiempo que los sitios que no cuentan con una conexión HTTPS serán marcados como “inseguro” en el navegador Chrome, y déjame decirte que no es un look muy atractivo…

Advertencia de conexión no privada - WPCafeina

Y por si fuera poco, Google además ha dicho que los sitios con HTTPS tienen preferencia sobre HTTP en el ranking.

Pero aunque estés odiando a Google en este momento, el objetivo de todo esto es mejorar la seguridad de la web, así que la verdad no te puedes enojar ante eso.

¿Cómo obtener un Certificado SSL?

Probablemente la manera más fácil para obtener un Certificado SSL es por medio de tu compañía de hosting y dejar que ellos se encarguen de su instalación.

Existen otras formas de obtenerlo, incluso de forma gratuita como en el caso de Let’s Encript si te sientes cómodo para hacerlo por tu cuenta. Para darte una idea de lo que significa hacer esto por tu cuenta, visita este articulo de Google sobre la Habilitación de HTTPS en tus servidores.

Ten en cuenta que el certificado puede tomar algunas horas o hasta un día para darse de alta.

Ya que el certificado ha sido habilitado en tu dominio, necesitas configurar WordPress para que tu sitio trabaje y muestre en su dirección la conexión HTTPS. Si no haces esto, aunque tengas un certificado, tu sitio no estará funcionando como HTTPS.

¿Suena complicado? Por supuesto que sí, pero el plugin Really Simple SSL se encarga de esta parte. Ya al momento de instalar y activar el plugin, este reconoce la presencia del certificado y habilita tu sitio para trabajar como HTTPS en solo clic.

Certificado SSL para WordPress con Really Simple SSL - WPCafeina

Todo lo que tendrás que hacer después de eso es asegurarte que el estatus diga “SSL Activado.”

SSL en los servicios de alojamiento gestionado

Antes mencionamos los servicios de alojamiento gestionado para WordPress y dijimos que debido a su enfoque, este tipo de hosting puede ser un mejor ambiente para esta plataforma y su seguridad.

Por eso algunos de ellos, como WPEngine y SiteGround ya incluyen un Certificado SSL dentro de sus paquetes y solamente tendrás que dar de alta la opción. Así de fácil.

Verifica el estado de tu Certificado SSL

Por último, siempre es bueno hacer una prueba para verificar que tu Certificado SSL este activo y bien configurado. Para esto existen herramientas externas que analizan tu sitio y te dan un reporte completo en solo unos minutos.

En esta imagen puedes ver los resultados que obtuvo nuestro sitio…

Verifica el estado de tu Certificado SSL - WPCafeina

Estas son algunas de las herramientas que puedes usar para verificar el estado de tu Certificado SSL:

La falta de una conexión segura en tu sitio puede tener consecuencias graves, así que empieza hoy mismo por contactar a tu empresa de hosting para agregar un Certificado SSL.

Paso 10: Asignación de permisos a usuarios

¿Qué haces cuando necesitas permitir el ingreso a alguna persona a tu administrador de WordPress?

Muchas personas simplemente le dan sus propias credenciales a terceros sin titubear, a pesar de que lo más probable es que esa sea la única contraseña y ademas tiene permisos de administrador.

¿Te das cuenta de la gravedad?

Todos en algún momento necesitamos que alguna persona externa ingrese al administrador, ya sea un programador, diseñador, una persona que contribuye al contenido del blog o incluso miembros de tu propio equipo de trabajo.

En estos casos debes considerar 3 cosas muy importantes:

  • Cada usuario debe tener sus propias credenciales, es decir que nadie debería estar compartiendo
  • Cada usuario debe contar con los permisos necesarios para cumplir con sus funciones
  • Ningún usuario debe poder realizar actividades que no corresponden con sus responsabilidades

No te preocupes, desde ya te digo que esta parte es muy fácil y prácticamente solo hace falta ser cuidadoso.

Diferentes tipos de usuarios en WordPress

Lo bueno es que WordPress ya incluye por defecto 5 tipos de roles con diferentes niveles de permisos que tu le puedes asignar a cada usuario. Veamos rápidamente cuáles son:

  • Administrador: Cuenta con permiso para hacer cualquier cambio
  • Editor: Cambios en el contenido. Puede crear, editar y borrar páginas y posts incluyendo contenido creado por otras personas
  • Autor: Puede crear, modificar y publicar sus propios posts y la información en su perfil, pero no tiene acceso al contenido de otros autores
  • Colaborador: Puede escribir sus propios posts pero no publicarlos, necesita la aprobación de un Editor o un Administrador
  • Suscriptor: Solamente puede editar la información en su perfil

Tiremos un par de ejemplos…

  • A un programador, como posiblemente tiene que hacer cambios en cosas más profundas como el código, no hay otra opción que crear una cuenta de Administrador, pero puedes eliminarla en cuanto este termine
  • A un autor invitado no le daría el rol de “Autor” sino el de “Colaborador” para que pueda escribir su contenido pero no publicarlo sin aprobación

Cómo crear y administrar tus propios roles y permisos

WordPress por defecto no te da la capacidad de crear nuevos roles o modificar los permisos y capacidades de los que ya existen.

Continuando con uno de los ejemplos anteriores ¿Qué pasa si quieres quitarle la capacidad de publicar sus propios posts al rol de “Autor” y que eso solo pueda hacer un “Editor”? Para poder crear, modificar y eliminar diferentes roles, vas a tener que hacerlo por medio de un plugin.

Administración de roles y permisos de usuarios en WordPress - WPCafeina

Aquí te comparto algunos:

Otros consejos para una administración de tus usuarios

Ahora que tienes un mejor entendimiento y más control sobre el manejo de los usuarios de tu sitio y los permisos que le asignas a cada uno, es importante tener en cuenta otras cosas.

Estos son algunos consejos que no puedes olvidar:

  • Una sola cuenta de Administrador – Trata de ser el único administrador en tu sitio, si necesitas darle permiso a un programador, elimina la cuenta cuando su trabajo esté terminado
  • Dar de baja a usuarios que ya no están – Si alguien deja de pertenecer a tu equipo de trabajo, asegúrate de eliminar su cuenta de usuario
  • Evita crear demasiados roles – El excederse en el número de roles y sus capacidades crea confusiones y será mas difícil tener una buena administración

Pues ahí tienes todo lo que necesitas para administrar bien a tus usuarios, espero que ahora no andes por ahí dandole tu contraseña a nadie.

Paso 11: Cambia la URL de ingreso a tu Administrador

Todos sabemos que la URL para iniciar una sesión en el administrador de WordPress es igual para todos lo sitios…

sitio.com/wp-admin

El problema es que TODOS lo sabemos, incluyendo hackers, bots y scripts.

Aunque cambiar la URL de acceso no es una solución definitiva para prevenir los intentos de penetrar tu sitio de esta forma, por lo menos le estas haciendo el trabajo un poco más difícil a esos ataques malintencionados.

La forma más fácil de cambiar la URL de ingreso a tu Administrador es por medio de un plugin que esconde la página que crea WordPress por defecto y le asigna otra dirección.

Cambia la dirección del administrador de WordPress - WPCafeina

Aquí te comparto un par de opciones de plugins que te pueden ayudar:

Estos plugins te ayudan a crear una nueva URL para ingresar a tu administrador de WordPress, ahora todo lo que tienes que hacer es darle un nombre que sea único.

Entre instalar, activar el plugin y cambiar el slug del WP-Admin te vas a tomar menos tiempo de lo que tomará escribir otro párrafo sobre este punto, así que no se diga mas.

Paso 12: Reportes y Alertas

Una de las principales funciones de los plugins de seguridad es monitorear la integridad y vulnerabilidades que puedan presentarse, para eso están siempre observando las actividades que se llevan a cabo dentro de tu sitio, por ejemplo…

  • Modificaciones a los archivos
  • Creación y cambios de usuarios
  • Creación y cambios a páginas o posts
  • Instalación de plugins
  • Cambios en los widgets
  • Intentos de iniciar sesión

Pero lo más importante de este monitoreo es que tu estés siempre enterado de cualquier actividad extraña que suceda, es por eso que los buenos sistemas de seguridad te dan una completa visibilidad de todas esas actividades.

Reportes

Lo más fácil es poder ingresar estos reportes dentro de tu administrador. Para darte un ejemplo, en esta imagen puedes ver el reporte de archivos de WordPress que han sufrido modificaciones que te ofrece el plugin de Sucuri…

Protección de WordPress: Reporte de actividades - WPCafeina

Configurar “Alertas”

En cuestiones de seguridad es importantísimo el tiempo de reacción, imagínate que tu sitio queda expuesto o incluso sufre un ataque el viernes y tu recién te enteras el lunes.

O quizás tu plugin de seguridad está tratando de advertir sobre alguna vulnerabilidad, pero tu eres de esas personas que no ingresa al administrador con frecuencia.

Las “Alertas de Seguridad” pueden ser configuradas para enviarte un correo.

Alertas de seguridad de WordPress - WPCafeina

Determina que alertas quieres activar y desactivar. Por ejemplo, a nosotros en WPCafeina nos interesa saber si alguien ha modificado los ajustes de un plugin, pero no ser informados cada vez que hay un intento fallido de iniciar sesión.

Cierto tipo de alertas puede causar que recibas demasiados correos, así que es importante determinar qué tipo de actividades realmente requieren de tu inmediata atención.

Registro de actividades

También existen los plugins de registro de actividades o “Logs” que se enfocan en mostrarte todas las actividades que suceden y lo que los diferentes usuarios están haciendo en tu sitio. Esta puede ser una valiosa herramienta por los siguientes motivos:

  • Conocer el comportamiento de los usuarios en tu sitio te puede dar una indicación de que debes cuidar mejor, por ejemplo el ingreso a una sección de tu administrador a la que no deberían tener acceso
  • Cuando sucede un error podrás identificar rápidamente cual fue la causa, en lugar de decirle a tu programador “no tengo idea de que sucedió”
  • También podrás identificar actividades sospechosas y tomar medidas antes que suceda algo grave
  • Ademas que te permite saber quien realizo cada actividad

Aquí te comparto algunos de los plugins de registro de actividades mas conocidos:

Proteger WordPress: Registro de actividades - WPCafeina

  • WP Security Audit Log – Probablemente el más completo. Te permite observar el comportamiento de los usuarios en tiempo real, registra cualquier cambio a posts, paginas, menús, base de datos, temas, plugins y cada actividad registrada incluye la fecha y horario, el usuario y dirección de IP de quien realizo la actividad
  • Stream
  • Activity Log
  • Simple History

Una buena estrategia de seguridad no esta completa si tu no estas enterado de forma inmediata de cualquier vulnerabilidad que pueda presentarse.

Conclusión

Como puedes darte cuenta, la seguridad de tu sitio es un tema a tomar en serio y, aunque todos estos consejos que hemos compartido contigo para proteger WordPress puedan parecerte demasiado trabajo, es algo necesario.

Claro, hay otras cosas que se pueden hacer y seguramente más de alguno estará pensando que no las hemos incluido en esta guía, pero hemos querido enfocarnos en las cosas más sencillas que puedes implementar tú mismo.

Si te ha gustado la guía, ayúdanos a compartirla. 😉