Tu WordPress a prueba de bombas

/en , , , /por

seguridad en WordPress

WordPress domina la red, es el CMS más utilizado y popular y por ende también el más atacado, por eso es muy importante proteger nuestro WordPress al máximo.

En este post voy a dar varias recetas y prescripciones para vacunar tu WordPress y ponerlo a prueba de bombas.

Primer punto importante es seleccionar un buen proveedor de hosting, que te garantice seguridad, herramientas y soporte técnico especializado.

Nosotros como proveedores especializados en WordPress tenemos muy en cuenta la seguridad de nuestros clientes y utilizamos medidas de Seguridad desde Servidor:

  • Cloudlinux, es un sistema operativo que encapsula cada cuenta de hosting de tal manera que si un hosting es atacado o infectado este no afecta al resto de cuentas de hosting del servidor, además proporciona recursos individualizados a cada cuenta de hosting.
  • Patchman, es un Software que hace una auditoría diaria de seguridad y si detecta software desactualizado avisa al usuario, si detecta malware lo bloquea y si detecta vulnerabilidades en WordPress le aplica un Patch Virtual para protegerlo notificando al usuario para que actualice su instalación o tome las medias oportunas, pero protegido de vulnerabilidades.
  • WAF, Web Application Firewall, es un Software con reglas personalizadas para WordPress que bloquean ataques, malware, bots etc, dando una protección extra a tu WordPress.
  • Antivirus de servidor, analiza diariamente los cambios en las webs de nuestros clientes para detectar malware, shells, código malicioso, desinfectando y bloqueando los archivos maliciosos.
  • Firewall de servidor, este Software analiza las peticiones y repele ataques de fuerza en bruto y bloquea ip de spammers y bots.
  • CDN CloudFlare que además de proporcionar mayor velocidad dispone de WAF para proteger las web de los clientes. Si eres cliente nuestro puedes activarlos en un clic desde tu cPanel.
  • Departamento de seguridad con ingenieros expertos que velan por la seguridad de nuestros clientes.

Seguridad desde la instalación de WordPress:

Cuando vamos a instalar WordPress podemos tomar medidas de seguridad

  • No utilizar wp como prefijo de base de datos.
  • No utilizar como nombre de administrador (admin, Admin, administrator, Administrator, administrador, Administrador).
  • No utilizar como nombre de administrador el nombre de dominio.
  • Utilizar contraseñas complejas, con números, letras, mayúsculas, minúsculas y símbolos.
  • Nunca utilizar themes o plugins piratas.

Si utilizas nuestro auto instalador Softaculous te permite modificar estos campos para proteger desde la instalación.

Seguridad en el mantenimiento:

  • Siempre actualizar a las últimas versiones, core, themes y plugins.
  • No modificar el core de WordPress.
  • Hacer copias de seguridad, con nuestro sistema Softaculous puedes configurar tus propios backups y restaurar en un clic.
  • Si tienes plugins o themes que no utilizas, aun estando desactivados se pueden convertir en vulnerables, es mejor desinstalarlos de tu WordPress, mantén lo que realmente utilizas.

Plugins de seguridad:

Hay una gran gama de plugins de seguridad para WordPress que te ayudan a proteger tu WordPress como los ataques de fuerza en bruto o bots, te voy a recomendar los que a mi me han resultado más útiles y que juntos se llevan muy bien y se complementan.

  • Ninjafirewall WP, es un WAF que va por delante de WordPress, muy configurable, con reglas personalizas que se actualizan automáticamente, bloqueo de bots, protección de headers, doble factor de autenticación, protección de directorios, notificación de cambios. Es uno de los plugins de seguridad para WordPress mas completos con un gran soporte técnico incluso en la versión free. Puedes revisar nuestra revisión de este plugin WAF para WordPress.
  • Sucuri Security, escanea tu WordPress para detectar malware, cambios y tiene un apartado de hardening muy completo para proteger directorios, muy recomendable.
  • Wordfence Security, posiblemente uno de los plugins de seguridad mas populares y completos, hace scanneos diarios de tu WordPress, te protege de ataques de fuerza en bruto, protege directorios, bots y se complementa perfectamente con los dos anteriores, además te avisa de plugins y themes desactualizados sin son del repositorio oficial de WordPress o si son de pago y están conectados con el proveedor para avisos de actualización del theme, muy habitual en themes de Envato.

Adicionalmente podemos crear reglas de seguridad en nuestro .htaccess para proteger por ejemplo el archivo wp-config.php donde van los datos de nuestra instalación o bloquear los ataques al archivo xmlrcp.php

Reglas personalizadas htaccess

El plugin Ninjafirewall tiene buenas opciones adicionales para proteger estos dos archivos pero siempre puedes hacerlo manualmente incluyendo estas lineas en el .htaccess.

También puedes utilizar plugins de doble autenticación como Clef, pero Ninjafirewall lo incluye y también Wordfence en su versión de pago o si lo prefieres puedes hacerlo tú manualmente siguiendo nuestro tutorial Como proteger el acceso al login de WordPress y nuestro tutorial Bloquear ataques de fuerza en bruto a XML-RPC en WordPress.

Recomendado que revises nuestro post ¿Por qué debemos mantener actualizado WordPress?

Si os apetece ver un video donde hablo de todo esto y algunas cosas mas.

Espero que este post os sea de utilidad y recuerda, la seguridad empieza desde uno mismo.

Quizás te interese
Pedro SantosSeguridad en WordPress
¿Qué son los "salt" en WordPress y por qué son importantes?¿Qué son los «salt» en WordPress y por qué son importantes?
Optimiza tu WordPress: Uso y Mantenimiento de PluginsOptimiza tu WordPress: Uso y Mantenimiento de Plugins