5 consejos para la seguridad en WordPress – Cinturones blancos (o para los que no somos «ninjas»)

WordPress SeguroWordPress es un CMS (Content Management System), es decir, un sistema de gestión de contenidos que desde el 2004 nos ha hecho la vida un poquito más fácil. Aunque su objetivo era facilitar la creación de blogs, hoy en día podemos ver páginas corporativas o tiendas online que utilizan este programa y ni siquiera nos daríamos cuenta gracias a la variedad de temas (y su posterior tuning), plugins, widgets…

En este caso hablo de la seguridad de WordPress.org, es decir, aquel del cual somos responsables de su alojamiento, instalación de plugins… Y ya sabemos que cuantas más opciones tengamos en nuestra mano, más fácil será tocar lo que no debemos. De ello hablan de manera más profesional y tienen mayor conocimiento muchos expertos en seguridad informática (los ninja), y por ello en este primer post hablaré de aquello que concierne a los cinturones blancos (yo estaré en amarillo siendo optimista ;-)) y os dejaré abajo algunas publicaciones de seguridad en WordPress por si os pudiera interesar e iré añadiendo con el tiempo aquellos que me vayan pareciendo relevantes.

«Un gran poder conlleva una gran responsabilidad«. Esta frase se puede aplicar a muchos campos y no sólo a Spiderman. Si está en tu mano crear tu propia web, con la intención de compartir contenidos con aquellos/as a los/as que les pueda interesar, consigues cierto posicionamiento gracias a tu dedicación…¿no sería una pena dejar las puertas y ventanas abiertas a aquellas personas que no sean demasiado buenas y te quedaras sin nada? Como en la vida real, puede ocurrir algún tipo de catástrofe que no puedas prever y que no esté de tu mano evitar, pero debes cuidar tu web como cuidarías cualquier otro bien al que le tengas «cierto cariño».

5 puntos importantes para un cinturón blanco para la seguridad de tu WordPress serán:

1. Elección de usuario y contraseña:

Es muy importante. Que seas usuario «admin» o «elnombredetuweb» y tu password «1234» o «elnombredetuweb» no dificulta el paso de los/as chicos/as malos/as (siguiendo con el ejemplo, es como si los ladrones pudieran abrir tu puerta de casa con una llave del diario del todo a 100/ bazar chino). Muchas personas me han dicho que «es un rollo» escribir contraseñas complicadas para acceder a algún servicio. Si te parece «un rollo» a ti, imagínate los bad boys/ bad girls que tienen que adivinarla…

2. Eliminar readme.html, upgrade.php e install.php:

Éstos son archivos de instalación. Cuando ponemos en marcha por primera vez nuestro WordPress, vemos que el proceso es muy sencillo. Estos archivos mantienen unas ubicaciones demasiado accesible para l@s chic@s mal@s y lo mejor será eliminarlos, para no dar pistas.

  • Readme.html (en la raíz de WordPress): Con este archivo podemos conocer la versión de WordPress, con el riesgo de que si no actualizamos debidamente las versiones, puede resultar excesivamente vulnerable. Por ejemplo: a día de hoy la versión de WordPress es la 3.5 y he encontrado una web que aún tiene la 3.2.1.Readme versión antigua WP¿Qué problema hay?Evidentemente, las versiones actualizadas de WordPress (o de temas, plugins…) mejoran características y solucionan vulnerabilidades. Para l@s chic@s mal@s (que tendrán un mayor grado de conocimiento que los cinturones blancos), tan sólo deben buscar el exploit correspondiente a la versión de WordPress (sobretodo si NO está actualizada)  y aparecerá…Exploit Para versión antigua de WordPressEn resumen: con estos archivos vulneran tu WordPress y como podéis comprobar algunos tienen un notable…asi que imagino que les habrá resultado bastante efectivos.
  • Upgrade.php e Install.php (en la carpeta wp-admin): en este caso la base de datos de WordPress ya está actualizada. Se recomienda eliminar estos archivos para ocultar información.UpgradeWP

InstallWP

3. Instalar plugins de seguridad:

Existen varias publicaciones sobre plugins de seguridad para WordPress (abajo os dejaré links). Si tuviera que elegir 5 para un principio elegiría…

  • Akismet: por defecto nos aparece y tan solo debemos añadir nuestra API Key ¿5 minutos para evitar Spam en nuestra web? No está mal…
  • Login LockDown: como he comentado, es importante elegir un usuario y un password poco intuitivos. Este plugin limita el número de intentos fallidos de login. Es decir, pruebo 3 veces( o las que hayamos elegido) usuario y contraseña inválidos, y Login LockDown bloqueará mi IP para que no siga intentándolo durante un tiempo. Es un plugin básico, sencillo y eficaz.
  • Secure WordPress: este plugin realiza varias tareas de seguridad que podéis ver en la web de WebsiteDefender.
  • Block Bad Queries (BBQ)
  • WordPress Backup: Plugin para hacer un backup de tu WordPress. Existen varios plugins de este tipo, y ahora también se puede guardar la copia en la nube, por ejemplo. No obstante podéis probar los plugins para backup que recomiendan «los ninja» y utilizar el que más os guste o el que más seguro os parezca.

4. Mantener actualizada la versión de WordPress y de los plugins

Como he comentado en el punto 2, las versiones antiguas son menos seguras. Además WordPress facilita estas tareas, y quizás las actualizacines duren menos de 1 minuto. Creo que la espera merece la pena;-).

¡Ojo! Al actualizar la versión de WordPress, debéis eliminar de nuevo readme.html, upgrade.php e install.php (recordad que son archivos de instalación ;-))

5. Ten tu ordenador protegido

De nada sirven estas medidas si tú mismo infectas tu WordPress con algún archivo.

 

Y aquí tenéis vuestro cinturón  blanco- amarillo. Creo que este proceso podría llevaros como mucho….10 – 20 minutos, así que creo que merece la pena.

Cinturón blanco amarillo

Soy consciente de que muchas personas tan sólo quieren un blog para escribir acerca de lo que más le gusta, y estos temas (un poco más técnicos quizás) les da un poco de pereza porque nunca lo han hecho o por aquello de tocar lo que no se debe y «liarla parda» ;-).

¡Todo es ponerse! Y en caso de que ocurra algún tipo de catástrofe ¿no estaría bien recuperar todo tu trabajo?

Por último quiero comentar que no es mi intención meterme en grandes temas de seguridad informática. Este post decidí escribirlo en vista de los numerosos blogs que veo potencialmente vulnerables por no hacer un par de cosas básicas y que no llevan apenas tiempo. Si tenéis alguna duda, no consultéis con ningún farmacéutico y recurrid a los expertos en la materia.

¿Tenéis más consejos para el nivel de cinturón blanco?

—————————————————————————————-

Links de interés:

Las peores contraseñas de 2012 por Hijos Digitales
Activar Akismet en WordPress por Ayuda en WordPress
Plugins de seguridad para WordpPress por Daboblog
Seguridad en WordPress por WordPress.org (ENG)
Asegurando WordPress por INTECO

 

 

 

4 thoughts on “5 consejos para la seguridad en WordPress – Cinturones blancos (o para los que no somos «ninjas»)

  1. Hola Emma, estoy totalmente de acuerdo con lo escrito en el post, la seguridad en nuestra web – blog es algo que pasa desapercibida, tal como la salud que no la echamos en falta hasta que nos falta.

    Aunque tengo mi web-blog como afición por la fotografía ya que no es mi profesión, me gusta mantenerla con buena presencia y por supuesto protegida tal como comentas con unas copias de seguridad descargadas en la nube por si acaso. Para esto uso el plugin UpdraftPlus – Backup/Restore sincronizado con Dropbox que nos permite restaurar la web de nuevo en caso de problemas.

    Para el tema de seguridad uso el plugin iThemes Security que aunque parezca de mano (por lo menos para mis conocimientos) un poco engorroso con ayuda de algunos tutoriales encontrados en internet pude configurarlo adecuadamente.

    Otra medida de seguridad que considero importante para mantener todo el contenido de nuestra web protegido es implementar el plugin WP Content Copy Protection para evitar el plagio y bloquear el acceso externo tanto del código fuente, como al texto y a las imágenes impidiendo que se puedan copiar, vamos inutilizar el típico copia y pega con el botón izdo del ratón.

    Un saludo fotográfico desde Langreo 😉

Deja un comentario