17 prácticas de seguridad de WordPress

17 prácticas de seguridad de WordPress

De más de 24,466 sitios web infectados, un análisis de seguridad reciente muestra que el 90% de ellos estaban usando WordPress. Eso es enorme ¿verdad? Otro informe de seguridad demuestra que el 41% de los sitios infectados de WordPress fueron pirateados a través de una vulnerabilidad de seguridad en su host, el 51% fueron pirateados a través de una vulnerabilidad en los temas y complementos de WordPress que estaban utilizando y el 8% fueron pirateados debido a una contraseña de administrador débil.

No hay duda de que el núcleo del sistema de WordPress es silenciosamente seguro, pero cuantos más ajustes y herramientas agregue, como temas y complementos, es más probable que sea pirateado. No estoy seguro de qué otra forma decir esto: no todos los desarrolladores de terceros cumplen con los mismos estándares de revisión de código que el equipo central de WordPress.

La conclusión es que su sitio de WordPress podría ser pirateado en cualquier momento. Pero hay varias cosas que puede hacer para fortalecer la seguridad de su sitio y dificultar un poco más a los atacantes. Pasemos un tiempo hoy explorando un montón de técnicas de seguridad de WordPress accionables que puede usar en este momento para mejorar su sitio y garantizar que permanezca seguro.

01. Mantenga actualizados el núcleo, los temas y los complementos

El sistema central, los temas y los complementos de WordPress pueden ocasionalmente tener vulnerabilidades y fallas de seguridad que, el 90% del tiempo, son reparadas por el desarrollador tan pronto como se descubren.

No puedo decir lo suficiente sobre la importancia de actualizar su instalación de WordPress y todo lo demás cada vez que se lanza una nueva versión. Al no hacerlo, deja la puerta abierta para que los piratas informáticos y los robots maliciosos descubran las vulnerabilidades en su sitio y accedan a su información. Desde WordPress 3.7, las actualizaciones menores y de seguridad se ocupan automáticamente en segundo plano. Pero las actualizaciones importantes siguen siendo algo que debe aprobar manualmente.

Para habilitar actualizaciones automáticas para versiones principales, puede agregar la siguiente línea a su archivo wp-config.php :

#Automatic core updates define( 'WP_AUTO_UPDATE_CORE', true );

Esto eliminará la necesidad de actualizar WordPress manualmente nuevamente. Para lograr lo mismo para complementos y temas, agregue las siguientes líneas:

#Automatic updates for all plugins add_filter('auto_update_plugin','return_true' ); 

# Automatic updates for all themes (if it has support) add_filter( 'auto_update_theme', '__return_true' );

Consejo informativo: cuando edite el archivo wp-config.php, asegúrese de agregar el código sobre la línea de "detener la edición", de lo contrario no funcionará.

Advertencia amistosa: tenga cuidado al habilitar actualizaciones automáticas ya que podría dañar su sitio web y causar errores de front-end cuando haya problemas incompatibles entre core / theme / plugins. También recomendamos utilizar WPSec.com para mantener todos sus complementos actualizados y recibir notificaciones sobre nuevas vulnerabilidades.

02. Proteger la pantalla de inicio de sesión

El tiempo transcurrido entre el lanzamiento de un nuevo sitio de WordPress y el primer intento de inicio de sesión malicioso es ridículamente escaso, algunas semanas como máximo. Si su sitio permite el inicio de sesión del usuario, los intentos de inicio de sesión son inevitables. Es solo cuestión de tiempo antes de que comience a experimentar lo mismo.

La mayoría de estos intentos de inicio de sesión se originan en bots y scripts maliciosos que están automatizados para rastrear la web en busca de sitios con WordPress. Una vez que encuentren uno, agregarán / wp-admin o /wp-login.php al final del dominio del sitio para acceder a la pantalla de inicio de sesión y utilizar la técnica de ataque de fuerza bruta. Para proteger su pantalla de inicio de sesión, puede usar un complemento que le permite limitar la cantidad de veces que una persona desde una IP específica puede intentar iniciar sesión dentro de un período de tiempo asignado.

Muchos complementos están disponibles para configurar esta opción sin problemas. Los más interesantes son el bloqueo de inicio de sesión y los intentos de inicio de sesión de límite de WP .

03. Reubique la página de inicio de sesión de WordPress

Para reducir el número de intentos de inicio de sesión maliciosos, también podemos mover la página de inicio de sesión de la dirección predeterminada conocida a una URL personalizada. Al hacerlo, hacemos que la página de inicio de sesión sea difícil de encontrar en primer lugar. Un script / bot que no puede encontrar su página de inicio de sesión no puede intentar iniciar sesión.

Para cambiar la ubicación de su página de inicio de sesión sin ser demasiado técnico, simplemente puede instalar un complemento que haga la tarea por usted. Hay múltiples complementos de inicio de sesión oculto en el directorio de complementos de WordPress, el que encuentro más interesante es WPS Hide Login . Simplemente hace el trabajo sin lujos.

Consejo informativo: Sin embargo, no le recomiendo que use esto en un sitio de membresía, ya que querrá que su página de inicio de sesión sea fácil de encontrar para sus usuarios.

04. Evite los nombres de usuario obvios

Cuando instala WordPress, el nombre de usuario de la cuenta de administrador predeterminada es admin . Esta es una de las primeras cosas que cualquier hacker o bot intentará usar en combinación de contraseñas aleatorias.

Todo lo que les queda por hacer es adivinar la contraseña correcta y todo su sitio cae en las manos equivocadas. Ahora, no quieres que eso suceda, ¿verdad?

Desafortunadamente, WordPress no le permite cambiar su nombre de usuario por defecto, al menos no fácilmente. Pero tengo buenas noticias. Hay un truco El truco es crear un nuevo usuario, asignarle roles de administrador y todo el contenido. Finalmente, elimine el usuario administrador predeterminado de la sección Usuarios en el área de administración de WordPress.

Alternativamente, si conoce su acceso a phpMyAdmin o cualquier otro administrador de base de datos, puede ejecutar la siguiente consulta SQL para cambiar el nombre de usuario administrador predeterminado de inmediato:

UPDATE wp_users SET user_login = 'newusername' WHERE user_login = 'admin';

05. Utilice siempre contraseñas seguras

El uso de una contraseña segura y única es una de las cosas más importantes que un usuario de WordPress puede hacer para mantener su sitio seguro y, sin embargo, muchos de nosotros aún no prestamos atención a esta medida crítica de seguridad.

Asegúrese de utilizar una contraseña larga (más de 15 caracteres) y compleja (mayúsculas y minúsculas, números y símbolos). Hazlo demasiado complejo, incluso para que lo recuerdes. Evite usar la misma contraseña para más de un sitio / servicio.

Nunca escriba su contraseña en una hoja de papel ni la guarde en texto plano en su máquina. Tome una billetera de contraseña como 1Password o Dashlane que puede ayudarlo a administrar y crear contraseñas aleatorias.

Estos administradores de contraseñas cifran y almacenan todas las credenciales de sus cuentas con una contraseña maestra. Todo lo que tienes que recordar es una contraseña para acceder a todos.

Incluso puede obligar a todos sus usuarios a usar una contraseña segura en su página de perfil con un complemento como Forzar contraseñas seguras. Útil para un sitio de membresía o blog de varios autores.

06. Agregar autenticación de dos pasos

Otra forma efectiva de prevenir ataques de fuerza bruta es configurar la autenticación de dos factores en la página de inicio de sesión. Esto agregará una capa adicional de seguridad al requerir su contraseña normal de WordPress más un código o token urgente que se envía a su teléfono para iniciar sesión en su sitio.

El beneficio de este enfoque de seguridad es que incluso si alguien logra adivinar su contraseña, también debe haber robado su dispositivo secundario para ingresar a su cuenta. Hoy es reconocido como el estándar de seguridad de primera línea.

Existen varios complementos que le permiten implementar la autenticación de dos pasos en su sitio en muy poco tiempo, incluidos Authy , Duo Two-Factor Authentication y Google Authenticator .

07. Asignar sabiamente roles y capacidades de usuario

WordPress tiene un sistema de administración de funciones y capacidades de usuario incorporado . 

Los roles se pueden desglosar de la siguiente manera:

• Super Admin: tiene acceso a las opciones de administración de red del sitio y a todas las demás funciones.
• Administrador: tiene acceso a todas las opciones de administración.
• Editor: puede publicar y administrar publicaciones, incluidas las publicaciones de otros usuarios.
• Autor: puede publicar y administrar sus propias publicaciones
• Colaborador: puede escribir y administrar sus propias publicaciones, pero no puede publicarlas.
• Suscriptor: solo puede administrar su perfil y dejar comentarios.

Cuando tiene que asignar roles y capacidades a los usuarios, debe usar el principio de privilegio mínimo . Básicamente, otorgue acceso y permisos adecuados a quienes lo necesiten, cuando lo necesiten y solo por el tiempo que lo necesiten. Nada mas y nada menos.

Puede ampliar las funciones y capacidades integradas con un complemento como User Role Editor para satisfacer sus necesidades.

08. Transfiera sus archivos a través de una conexión segura

Cuando transfiere archivos de su máquina al servidor de su sitio, siempre debe asegurarse de que la conexión que está utilizando sea segura.

Protocolos como SFTP y SSH encriptan la comunicación entre su máquina y el servidor de su sitio. La mayoría de los proveedores de alojamiento decente ofrecen SFTP gratis. Si no está seguro, pregúntele a su anfitrión.

Si realiza operaciones cotidianas con los archivos de su sitio, evite dejar el archivo wp-config.php en su máquina, ya que contiene el nombre de usuario, la contraseña y el nombre de host de su servidor de base de datos.

09. Prevenir directorio y navegación de archivos

Cuando su servidor no encuentra un archivo de índice en un determinado directorio, mostrará una página que muestra todos los contenidos de ese directorio, haciendo que la información confidencial esté disponible para cualquiera.

Para ver si la exploración de directorios está habilitada en su sitio, puede crear una nueva carpeta en la raíz de su directorio de WordPress que contenga un archivo de texto simple.

Ahora escriba la URL de su sitio seguido del nombre de la nueva carpeta (ejemplo: sudominio.com/nuevocarpeta). Si recibe un mensaje de error o simplemente una página en blanco, la exploración del directorio está desactivada.

Sin embargo, si muestra un enlace al archivo de texto, se habilita la exploración de directorios. Para evitar esto, puede agregar la siguiente línea de código a su archivo .htaccess:

Options All -Indexes

Además, puede ir con .htaccess para proteger algunos archivos importantes como wp-config.php:

#Block access to wp-config.php <files wp-config.php> order allow,deny deny from all </files>

Agregar el código anterior evitará que se acceda al archivo.

Para limitar el acceso por dirección IP, digamos que para proteger el área de administración de WordPress, cree un nuevo archivo .htaccess en el directorio / wp-admin / con el código a continuación (cambie xxxx con su propia dirección IP):

# Block access to wp-admin order deny,allow allow from xxxx deny from all

Consejo informativo: el archivo .htaccess está presente en la raíz de su directorio de WordPress. Si no lo ve, asegúrese de hacer clic en la opción para ver los archivos ocultos en la configuración de su cliente FTP. Es un archivo de configuración muy potente que puede aprovechar para fortalecer la seguridad de su sitio. ¡Las posibilidades son infinitas!

10. Agregar un certificado SSL

SSL, o Secure Sockets Layer, es el protocolo de seguridad estándar utilizado para establecer una conexión cifrada entre un servidor web y un navegador.

Es esencial para cualquier propietario de negocio serio que esté recopilando información confidencial del usuario en su sitio web. Además, Google actualmente clasifica a los sitios habilitados para SSL en las páginas de resultados de los motores de búsqueda.

Cualquier buena empresa de alojamiento ahora ofrece un certificado gratuito proporcionado por Let's Encrypt con sus paquetes de alojamiento. También puede comprar un certificado SSL comercial de proveedores emisores como Comodo y pedirle a su host que lo instale por usted.

Una vez que su servidor esté preparado para SSL (asegúrese de probar que HTTPS funciona correctamente primero), puede forzar su área de administración de WordPress para que funcione con SSL agregando la siguiente línea de código a su wp-config.php:

# Force HTTPS in admin area define('FORCE_SSL_ADMIN', true);

Si todo funciona correctamente, puede comenzar a forzar HTTPS en todas partes agregando el siguiente código al archivo .htaccess en el directorio raíz:

# Force HTTPS everywhere RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

También querrá cambiar la configuración de URL en Configuración general en el tablero:

Al habilitar SSL y a su vez HTTPS en su sitio, también obtiene un pequeño impulso de SEO con un sitio seguro y confiable. ¿Ahora quién no quiere eso?

11. Haga una copia de seguridad de su sitio con frecuencia

No hay una forma a prueba de balas para hacer que su sitio web sea completamente seguro. Incluso con las técnicas de endurecimiento más sofisticadas, los datos siempre pueden verse comprometidos y perdidos, para siempre. En pocas palabras, debe hacer una copia de seguridad de su sitio y en un horario.

Las copias de seguridad programadas aseguran que si su sitio se ve comprometido por piratas informáticos, siempre puede restaurarlo a un estado de funcionamiento con facilidad, en cualquier momento que lo desee.

Hacer copias de seguridad debe ser un proceso indoloro. Si su host aún no proporciona copias de seguridad diarias listas para usar, puede usar un servicio de copia de seguridad externo como VaultPress o BlogVault . Estos proveedores tienen una opción de restauración incorporada, que es una característica bastante agradable.

Si está buscando una solución gratuita, hay muchos complementos de copia de seguridad de WordPress increíbles, aquí hay algunos:

• UpdraftPlus ~ 1 + millón de instalaciones activas
• BackWPup ~ 500k + instalaciones activas
• BackUpWordPress ~ 200k + instalaciones activas

Todos los complementos anteriores manejan la programación de copias de seguridad, la automatización, la exportación de bases de datos y archivos, y la carga en servicios de almacenamiento como Dropbox , Google Drive y Amazon s3 .

Buena práctica: para mayor seguridad, separe el archivo de exportación de la base de datos de los archivos de su sitio. Por ejemplo, puede programar una carga de respaldo de base de datos diaria en Amazon S3 y una carga de respaldo de archivos semanal en Dropbox.

12. Elija los complementos correctos

El directorio oficial de plugins de WordPress es un buen comienzo para buscar un plugin. Contiene una extensa lista de complementos gratuitos y un gran equipo de colaboradores mantiene el directorio.

Cuando se trata de la selección de complementos, a lo largo del tiempo he desarrollado una lista de verificación que me ayuda a decidir si debo confiar o no en instalar un complemento:

• Compruebo la compatibilidad con mi versión actual de WordPress
• Compruebo la calificación, las revisiones y la última fecha de actualización
• Navego por el foro de soporte para ver si hay algunos problemas
• Busco el repositorio de Github del complemento (si hay uno)
• Compruebo los antecedentes del autor
• Lo pruebo localmente para ver cómo funciona

Sí, soy implacable cuando se trata de complementos y tú también deberías serlo. Los complementos son el vector de ataque n. ° 1 que se explota. Por lo tanto, debe prestar atención a lo que se instala en su sitio web.

Elija sus complementos sabiamente y siempre recuerde que no es la cantidad de complementos lo que importa, es la calidad.

13. Sé selectivo con los temas

Hay aproximadamente 3000 temas gratuitos en el repositorio oficial de temas de WordPress . Pero seamos sinceros: muchos de ellos están mal codificados. Por lo tanto, los criterios de selección de complementos también deberían ser los mismos para los temas.

Evite descargar temas gratuitos de fuentes no confiables y tiendas aleatorias de las que nunca antes haya oído hablar y no pierda su tiempo tratando de encontrar una versión gratuita de un tema premium en Google, lo más probable es que termine con un archivo zip que contiene un malware o código alterado.

Si te gusta un tema premium, solo obténlo directamente del autor original. No solo apoyará al desarrollador, sino que obtendrá archivos libres de errores y ayuda para instalar y configurar el tema.

Consejo: Le recomiendo que obtenga un tema de fuentes confiables como Elegant Themes y ThemeForest .

14. Deshabilite la edición de archivos desde el tablero

Hay un editor de archivos incorporado en el área de administración de WordPress que le permite modificar temas y archivos de complementos. Los usuarios autorizados de WordPress tienen acceso a este editor y pueden agregar o eliminar el código que se encuentra allí. Esto es potencialmente peligroso.

Si realmente necesita hacer cambios en esos archivos, hágalo a través de SFTP. Para eliminar este método de edición de archivos, simplemente agregue este fragmento de código siguiente a su archivo wp-config.php :

# Disable admin area file editor define( 'DISALLOW_FILE_EDIT', true ); 

Para una protección adicional, también puede eliminar la posibilidad de que los usuarios instalen o actualicen temas y complementos agregando la siguiente línea de código:

# Disable theme and plugin install/update + file editor define( 'DISALLOW_FILE_MODS', true );

El código anterior también desactivará el tema y el editor de complementos.

15. Instalar un complemento de seguridad de WordPress

Un complemento de seguridad puede complementar su estrategia de seguridad de WordPress existente o actuar como una solución de seguridad todo en uno para los no expertos.

Echemos un vistazo a los complementos de seguridad todo en uno más populares que existen. Recuerde, cada complemento está diseñado para resolver diferentes problemas.

iThemes Security : anteriormente, Better WP Security, iThemes, la compañía detrás de BackupBuddy y otros productos más increíbles, mantiene este complemento. Es la navaja suiza de los complementos de seguridad con muchas características como protección de fuerza bruta, endurecimiento, escaneo de archivos, opciones de oscuridad, copias de seguridad y mucho más.

Sucuri Security : Sucuri Security es administrado por una compañía conocida y confiable que se especializa en seguridad de WordPress. Actúa como un complemento de auditoría, presentando una herramienta de registro de actividad, monitoreo de integridad de archivos, escaneo de malware, opciones de refuerzo, firewall y acciones de seguridad posteriores al pirateo.

BulletProof Security : BulletProof Security es, con mucho, el complemento de seguridad de WordPress más descargado en el directorio WP.org. Aunque tuvo sus altibajos, todavía se lo considera un jugador importante en su campo. El complemento presenta un firewall, opciones de bloqueo, seguridad de inicio de sesión, escaneo, monitoreo y soporte multisitio.

Wordfence Security : Wordfence Security es un complemento lleno de opciones que se enfoca en la protección con .htaccess, seguridad de inicio de sesión, monitoreo del registro de actividades y un par de otras características de refuerzo. También incluye un modo de mantenimiento front-end / back-end y un asistente de respaldo de base de datos automatizado.

Registro de auditoría de seguridad de WP : mantenga un registro detallado de los eventos en sus sitios web. Si sucede algo malo como un ataque de rociado de contraseña exitoso, puede rastrear qué usuario utilizaron los atacantes como ejemplo.

Consejo: Varios de los complementos anteriores no están diseñados para funcionar juntos. No desea cargar su sitio con demasiados complementos. La clave es elegir el que mejor funcione para usted y su situación.

16. Monitoree los archivos de su sitio

Si alguien logra ingresar al backend de su sitio de WordPress, probablemente agregará, eliminará o cambiará archivos e inyectará scripts maliciosos. Para evitar esto, debe escanear regularmente los archivos de su sitio y verificar si han sido alterados o no, pero no puede hacerlo manualmente todos los días.

Las herramientas de monitoreo de integridad de archivos pueden observar activamente el estado actual de sus archivos y alertarlo si se detecta alguna actividad sospechosa.

Aquí hay una lista útil de complementos y servicios para ayudarlo a implementar un sistema de alerta temprana en su sitio:

CodeGuard : CodeGuard monitorea los archivos de su sitio junto con su base de datos para cambios diarios y le envía una alerta si algo sale mal. También realiza copias de seguridad y le permite restaurar su sitio web en un punto determinado. Es una herramienta similar a una máquina del tiempo.

Registro de auditoría de seguridad de WP : este complemento mantiene un registro de todo lo que sucede en su sitio web de WordPress en tiempo real. Desde la actividad del usuario hasta errores de PHP e intentos fallidos de inicio de sesión. Tiene un widget de panel que resalta la actividad más reciente y admite instalaciones en varios sitios.

WordPress File Monitor : WordPress File Monitor realiza un seguimiento de los cambios en el tamaño del archivo, la fecha de modificación, los permisos y el contenido del archivo. El complemento muestra alertas en el área de administración y es compatible con varios sitios.

WPSec : nuestro escáner automatizado gratuito de seguridad de WordPress. Puede controlar su instalación de WordPress y enviar notificaciones. Escanee diariamente, semanalmente o mensualmente.

Sucuri Scanner : este es un escáner gratuito proporcionado por Sucuri que le permite ejecutar una verificación de cualquier sitio web para detectar malware conocido, estado de listas negras, errores del sitio web y software desactualizado.

Consejo: Al activar las notificaciones en los complementos de monitoreo, asegúrese de habilitarlo solo para informes importantes; de lo contrario, su bandeja de entrada de correo electrónico se inundará muy rápidamente.

17. Elija un buen host de WordPress administrado

Puede ser inteligente y animar su sitio con las últimas técnicas de seguridad. Pero al final del día, si no tiene un proveedor de alojamiento confiable, todos sus esfuerzos vigorosos no van a importar tanto.

Si aún no tiene un buen host, debe pensar seriamente en trasladar su sitio a un proveedor especializado en WordPress. Un proveedor de alojamiento de WordPress administrado se ocupa de todos los aspectos técnicos, que incluyen:

• Actualizaciones automáticas del núcleo de WordPress y copias de seguridad diarias
• Seguridad con firewall y escaneo de malware
• Caché incorporado y optimización de velocidad
• Soporte experto y escalabilidad

Eche un vistazo a proveedores como Seravo , Flywheel y WP Engine . Tienen una formación sólida en la gestión de sitios de WordPress.