Seguramente ha leído muchos artículos anteriormente sobre la seguridad de WordPress, muchos de ellos solo recomiendan la instalación de una docena de plugins para arreglar el problema. Por esta razón, me he algunas horas de investigación para ver cuál es realmente la mejor forma de proteger nuestros blogs ya que tomando en cuenta utilizo esta misma plataforma puedo recomendarles solo lo que realmente funciona.
No hay dudas que WordPress es el software CMS más usado cuando se trata de crear sitios en Internet y no solo blogs, esto gracias a la flexibilidad y el sistema amigable que posee el cual nos permite hacer cualquier cosa que queramos.
Pero una de los cuidados que debemos de tener con WordPress, por ser de código libre y gratuito, es que cualquier usuario con conocimiento avanzados en informática sabrá como atacar tu blog, incluso si tienes un blog con mucha competencia debes de tener cuidado ya que los ataques de DDOS son frecuentes para sacar de la red por un tiempo considerable. Por esta razón es indispensable realizar un respaldo antes de cualquier cambio en tu blog.
Primeros pasos en WordPress
Lo primero que debes de considerar al tener un sitio en WordPress seguro es el servicio de hosting o alojamiento. Sea un servidor compartido o dedicado, debes de buscar buenas soluciones en el mercado. Una vez que tengas tu empresa o proveedor de hosting definido y contratado tendrá que pasar a instalar WordPress.
También es mejor usar themes limpios y si puedes buscar soluciones premium o de pago ya que muchos gratuitos incluyen código malicioso. Siempre es mejor comprar o descargar gratis desde la tienda oficial o web del autor. Existen sitios que de manera ilegal y poco ética distribuyen plantillas premium totalmente gratis que incluyen archivos infectados.
Tips de seguridad para proteger tu blog
Por defecto, nuestro blog en WordPress crear una ruta de acceso a nuestra administración a través del directorio Wp-admin o en archivo wp-login.php. Una vez que el atacante ha encontrado fácilmente la ruta, simplemente hará ataques de fuerza bruta para tratar de acceder a tu panel de administración.
El fichero .htaccess es una de las bases principales de funcionamiento de WordPress y con el correcto uso de funciones y código pueden ser capaz de realizar cambios interesantes en tu blog, sobre todo cuando se trata de seguridad.
Afortunadamente también existen plugins que te ayudan a proteger tu panel de administración en WordPress y otras 100 medidas de seguridad que quizá no conocías, por lo que puedes configurar tu blog sin tener que tocar el código y echarlo a perder todo.
Uno de estos plugins es “All in One Security and Firewall”, el cual es muy recomendado y ya te explicaré porqué. Si has leído en otros artículos sobre seguridad para WordPress en otros sitios, como mínimo te recomiendan la instalación de 5 plugins, uno para cada función.
Este plugin recomendado no consume recursos del servidor (lo cual he probado) e incluye muchas funciones de seguridad que ya te explicaré, ¡es simplemente sorprendente!
All in One Security and Firewall
Una vez que hayas descargado el plugin o instalado directamente desde tu panel de WordPress como administrador debes de proceder a su configuración, es fácil y práctica, así que no hay de qué preocuparse.
Cada configuración habilitada con All in One Security and Firewall suma desde 5 hasta 20 puntos, llegando a un total final de 460 que es lo que puedes ver en la imagen.
Funciones de All in One Security & Firewall
Cuando hayas instalado el plugin solo debes de ir opción por opción del menú habilitando las protecciones que deseas, las cuales incluyen:
Cambio de ID del usuario administrador
Por defecto la instalación de WordPress crea una ID o identificador del usuario, el primer usuario creado tiene una ID de “1”. Esto debe ser cambiado inmediatamente en cada blog que hagas en WordPress ya que es un blanco de ataques usados con mucha frecuente.
Lo que hace el Plugin es cambiar únicamente la ID de tu usuario administrador sin cambiar tu usuario. Además, tu nombre de usuario debe de ser diferente al mostrado en tu blog el cual es mostrado en un post, pero esto también lo podrás configurar con el plugin.
Intentos de logueo
Otra gran característica del plugin es que te permite definir la cantidad de veces fallidas para entrar a tu panel de administración, de lo contrario tu IP será bloqueada y el administrador recibe una notificación por correo. Si los ataques son realizados por fuerza bruta, el ataque es redireccionado al sitio que tú elijas, por defecto viene una opción del servidor local.
Forzar la salida
Como medida de seguridad puedes habilitar la opción de deslogueo automático después de un determinado tiempo en tu panel de administración y así aumentar la seguridad.
Registro de usuarios
Puedes activar la opción de aprobación manual para el registro de nuevos usuarios y el uso de códigos Captcha en los formularios, muy útil para evitar registros masivos automáticos.
Protección de spam
El plugin también te permite bloquear comentarios o bots spam que llegan directamente accediendo a la ruta de envío de comentarios de tu blog. El plugin al identificar esto, bloquea la IP o el bot. También de muestra un registro o monitoreo de las IP spam.
Activación de Firewall
Al igual que nuestro ordenador, nuestro blog también necesita usar un Firewall para evitar también cualquier intento de modificación de ficheros importantes como el wp-config.php o .htaccess.
Edición de ficheros
Al tener acceso a un panel de WordPress el usuario tiene acceso a la edición de fichero de la plantilla en uso o themes y plugins. All in One Security and Firewall permite que nadie pueda editar estos archivos. ¿Cómo lo hace? Simplemente elimina la opción de nuestro panel de administrador.
Recomendación: Para cualquier cambio en un fichero de tu blog, themes o plugins es mejor siempre usar una conexión a través de un cliente FTP desde tu ordenador. Por seguridad, y no es que esté obsesionado con el tema, utilizo un VPN y conexión SFTP (acceso SSH) con FileZilla.
Cambio de prefijo en base de datos
Como mencioné desde un inicio. La instalación de WordPress trae consigo configuraciones por defecto que debemos cambiar. La base de datos, la cual también es atacada por inyecciones SQL, crea un prefijo “Wp_” en el blog, pero con este plugin puedes cambiar el prefijo al que quieres sin tener que ir al gestor de base de datos.
Respaldos de la base de datos
Sé que existen muchos interesantes plugins para realizar una base de datos en WordPress directamente desde el panel de administración, desde nuestro Cpanel o Plesk o desde el cliente FTP. Sin embargo, el plugin en cuestión incluye también la programación automática de respaldos los cuales son alojados en un directorio protegido de tu hosting, donde tienes acceso vía FTP y recibes la notificación con el fichero adjunto por correo electrónico.
Ruta de administrador: En un inicio del artículo mencioné que el primer ataque a un sitio en WordPress es la ruta de administración la cual es conocida por cualquier usuario de WordPress. Ahora, este interesante plugin gratuito te permite cambiar la ruta por una personalizada que solo tú debes de conocer.
Cualquier atacante que quiera violar la seguridad en tu blog será redireccionado a su host local o recibe un error 404!
En fin, estas son algunos de los cambios que realiza el Plugin All in One Security and Firewall, con el cual basta para proteger tu sitio, pero el plugin incluye otras opciones que podrás explorar una vez que lo instales.
Todas las funciones y opciones de seguridad se pueden realizar desde el .htaccess sin instalar el plugin, pero una vez que lo hayas instalado puedes revisar el código del .htaccess y ver los cambios realizados para cada función.