Cómo mejorar la seguridad en WordPress con estos 15 consejos
Adoptar unas mínimas medidas de seguridad es fundamental a la hora de trabajar en Internet. En esta ocasión, nos vamos a centrar en cómo mejorar la seguridad en WordPress para blindar nuestro CMS o sistema de gestión de contenidos. Toma buena nota para evitar contratiempos o ataques inoportunos.
Contenido de la información:
- 1. Cambiar de contraseña de manera regular
- 2. Asegura WordPress
- 3. Actualizar siempre
- 4. Las copias de seguridad, fundamentales
- 5. Limpiar la tabla wp options
- 6. Cambiar de ruta ficheros y carpetas
- 7. Proteger el archivo Apache.htaccess
- 8. Utilizar como una ayuda extra el archivo .htaccess
- 9. No facilitar ningún tipo de información gratuita
- 10. Modificar las rutas de acceso habituales
- 11. Limitar los accesos fallidos
- 12. Estar atento a posibles modificaciones en archivos de WordPress
- 13. Configurar sistemas de alerta
- 14. Abrir una cuenta en Google Webmaster Tools
- 15. Visitar todos los días la sección de ayuda de WordPress
- 5 consejos de Kaspersky para mejorar la seguridad de tu blog en WordPress
- Si te hackean el blog, hay solución
Estos son nuestros 15 consejos:
-
1. Cambiar de contraseña de manera regular
Una medida de seguridad que hay que seguir con todas las contraseñas, desde las de acceso al panel de control del proveedor de alojamiento. Podemos recurrir a algún plugin para modificar las contraseñas en WordPress. Es aconsejable modificarlas, al menos, una vez más vez, y siempre utilizando contraseñas largas (no menos de 12 caracteres), con combinación de letras mayúsculas y también minúsculas, además de emplear números y otros caracteres especiales.
-
2. Asegura WordPress
Hay disponibles un buen número de plugins, muy eficaces para aumentar la seguridad en WordPress.
-
3. Actualizar siempre
Desconfía de los plugins y los temas sin actualizar, o que están pendientes de revisión desde hace tiempo. Algunos pueden utilizar scripts fácilmente vulnerables a los hackers para introducir malware. En estos casos, para garantizar la seguridad, no hay que escatimar en gastos, siendo más aconsejable optar por los plugins y temas de pago, puesto que de esta manera contaremos con garantías plenas de actualización por parte del desarrollador. También están sometidos a proceso de revisión los plugins y temas contenidos en el repositario oficial. Lo que no debemos hacer nunca, bajo ningún concepto, es descargar temas (sean premium o no) desde redes P2P por el simple de ahorrar unos cuantos euros, puesto que en 9 de cada 10 los códigos dan serios problemas.
-
4. Las copias de seguridad, fundamentales
Unos buenos plugins nos permitirán hacer copias de seguridad, evitando así la desagradable sorpresa de no poder acceder, en un momento determinado, a nuestro sitio web. Incluso Dropbox permite hacer copia de WordPress.
-
5. Limpiar la tabla wp options
Tabla de la base de datos que custodia la información de acceso y los ajustes de WordPress, por lo que es aconsejablar limpiarla de manera regular.
-
6. Cambiar de ruta ficheros y carpetas
En concreto, el fichero wp-config.php y la carpeta wp-content, responsables de guardar la información para acceder a la base de datos y los plugins, temas, cachés y ficheros de configuración de plugins y scripts.
-
7. Proteger el archivo Apache.htaccess
Guarda los ajustes y rutas, por lo que también es fundamental proteger este archivo.
-
8. Utilizar como una ayuda extra el archivo .htaccess
Para proteger WordPress directamente desde este archivo, previamente tienes que haber protegido el fichero.
-
9. No facilitar ningún tipo de información gratuita
Hay varias cosas que podemos hacer en este punto, como no utilizar etiquetas meta y HTML que aporten datos sobre la versión de WordPress, eliminar el ardchivo readme.html y borrar los ficheros que aporten datos sobre la instalación.
-
10. Modificar las rutas de acceso habituales
Evita, en caso de estar infectado, la acción automática de scripts de códido malicioso.
-
11. Limitar los accesos fallidos
Con esto evitaremos la acción automática del malware. Podemos recurrir a unos buenos plugins.
-
12. Estar atento a posibles modificaciones en archivos de WordPress
Hay buenos plugins para estar alerta a cualquier posible cambio, con una inyección de código.
-
13. Configurar sistemas de alerta
Numerosos servicios web ofrecen alertas de seguridad, en caso de inyección de códido o por malware. Algunos de los más eficaces son incluso gratuitos, solo hay que darse de alta.
-
14. Abrir una cuenta en Google Webmaster Tools
Con avisador de instalación, alerta de inyección de código, avisos de sitio malicioso… son algunas de las ventajas de disponer de esta herramienta.
-
15. Visitar todos los días la sección de ayuda de WordPress
.
5 consejos de Kaspersky para mejorar la seguridad de tu blog en WordPress
¿Cómo proteger tu blog en WordPress frente a los ciberataques? WordPress se ha convertido en uno de los sistemas de gestión de contenidos (CMS) más populares, tanto para websites personales como profesionales. Algunas de las causas que han permitido el enorme crecimiento de este CMS han sido sus licencias, su facilidad de uso y sus características como gestor de contenidos. Gracias a su sencillez y flexibilidad, cualquiera puede crear su propia web o blog con una apariencia visual original en pocos pasos. Pero no todo son ventajas, debido a esta popularidad WordPress no ha pasado desapercibido por los ciberdelincuentes que aprovechan el éxito de estos portales para centrar sus ataques y poder así infectar a un mayor número de usuarios.
Por este motivo, si tienes tu propia página o gestionas la web de tu compañía y no quieres que sea atacada, Kaspersky Lab ofrece una serie de consejos para estar protegido:
1. Protege tu parte de la ecuación
Los mecanismos de seguridad de WordPress son inútiles si tu sistema está o ha estado expuesto al malware. Es necesario tener instaladas las últimas versiones del sistema operativo, del software instalado y, por supuesto, del navegador web. Aunque estas actualizaciones parezcan inservibles, siempre incluyen parches para cubrir las vulnerabilidades, objetivo de los hackers. Además, es recomendable tener instalado un software de seguridad robusto y analizar de forma regular el equipo en busca de programas maliciosos.
2. Protege WordPress
Es imprescindible trabajar siempre con la última versión de la plataforma, con todos los parches de WordPress y plugins actualizados. Si hay plugins que no usas, recuerda que desactivarlos no es suficiente para evitar que los hackers los usen para atacar tu site: hay que eliminarlos.
3. Elimina las vulnerabilidades del servidor y red
Asegúrate que tu alojamiento web es seguro. Por supuesto, comprueba que tu red también es segura, tanto la doméstica como la profesional. No trabajes con tu cuenta WP usando una conexión wifi que no sea totalmente segura.
4. Minimiza el uso del “Administrador”
La cuenta de administrador en WordPress es la llave que da acceso a cada una de las partes del site y, por supuesto, una joya de gran valor para los ciberdelincuentes. Si se infecta tu sistema o navegador con un programa que detecta contraseñas y accedes con tu cuenta de Administrador a tu página, tendrá consecuencias. Usa sólo la página “admin” para ejecutar funciones de administrador y crea una cuenta diferente de editor para subir un nuevo contenido.
5. Crea contraseñas fuertes
Las páginas de inicio de sesión son la puerta de entrada de las websites y una contraseña débil supone un peligro para tu web o tu blog. Para generar una contraseña “fuerte” no utilices palabras que se puedan encontrar en un diccionario o datos personales, puesto que son fáciles de descifrar. Una contraseña segura debe contener una combinación de letras, números y caracteres especiales.
Si te hackean el blog, hay solución
Mi blog ha sido hackeado. ¿Y ahora qué? No desesperes, para todo hay solución en esta vida. Con la ayuda de expertos en seguridad web queda demostrado que recuperarse de la entrada de un hacker en nuestro blog es posible, aunque también es verdad que es muy laborioso. Los efectos de un ataque exitoso pueden sentirse a lo largo de mucho tiempo, pero cuanto más rápido seamos en identificar y solventar los problemas, menos daño habrá en nuestro blog. Aquí os ofrecemos una lista de acciones inmediatas que pueden ser tomadas después de descubrir que nuestro blog ha sido hackeado:
Los blogs son, sin duda, una de las maneras de expresión más extendidas en la web. Mientras algunos bloggers optan por alojar su blog en una plataforma desarrollada por una empresa, otros eligen desarrollar su propia bitácora en una dirección web de su propiedad, lo que, si bien da más flexibilidad, también obliga a tener más cuidado para evitar “accidentes”.
Tanto Blogspot como WordPress ofrecen cuentas gratuitas que dan acceso al uso de Blogger y WordPress CMS, respectivamente. Se ofrecen como un servicio mantenido por el proveedor. Esto significa que los usuarios no deben preocuparse por parches u otro tipo de medidas de seguridad, dado que éstas son provistas automáticamente por los desarrolladores del servicio.
La mayoría de las violaciones de la seguridad suelen ocurrir en blogs alojados en dominios propios y tienen como principales causas las vulnerabilidades sin descubrir en el script del blog y la mala configuración (u otros defectos en el software del servidor web).
Qué hacer si te hackean
1. Lo primero y más importante, es hacer que nuestro dominio sea inaccesible tanto para usuarios humanos como para los rastreadores de los buscadores.
Puesto que todos los archivos de la web requerirán un análisis y (probablemente) una restauración, borrar alguno de ellos no es recomendable. Es más fácil bloquear todo el tráfico poniendo un archivo .htaccess en el directorio raíz de la web. Si nuestro servidor no soporta archivos .htaccess o no está funcionando con Appache, lo mejor es cambiar nombre del archivo index.php y crear uno en blanco en su lugar. Es importante recordar que hay que crear la falsa página index.php, pues en caso contrario corremos el riesgo de exponer otros archivos en nuestra cuenta FTP.
El archivo .htaccess debería contener una sóla linea: denegar todo (deny from all) Detener el tráfico y la entrada de los motores de búsqueda es una parte esencial del proceso. No queremos llevar a más usuarios a infectarse con malware ni tampoco ser marcados por Google como un sitio malicioso.
2. Hacer una copia de seguridad completa de la carpeta de inicio.
Por lo general, ésta incluye no sólo todos los archivos de nuestra cuenta de alojamiento, sino también las bases de datos SQL que podamos tener. Si no podemos crear una copia de seguridad completa, lo mejor es descargar el contenido de nuestra cuenta usando un cliente FTP y, a continuación, exportar manualmente la base de datos como un archivo de SQL. Es posible que deseemos ejecutar un escaneo profundo con nuestro antivirus favorito en los archivos descargados, puesto que algunos de los scripts maliciosos inyectados por los ciber-criminales son detectados por los escáneres.
3. Retirar los registros de acceso de nuestro servidor web y almacenarlos en un lugar seguro. Cuanto más rápido lo hagamos, mejor, la mayoría de los proveedores de webhosting los conservan durante un período limitado de tiempo (generalmente 12 horas o 24). Necesitaremos los registros para investigar qué es exactamente lo que los atacantes han hecho en nuestro sitio web. Este análisis forense en nuestra cuenta de hosting probablemente será capaz de revelar el lugar exacto de nuestro sitio web que ha sido atacado y, posteriormente, nos permitirá resolver definitivamente el problema de una manera más fácil.
4. Hay que hacer una copia de todos los archives modificados que encontremos.
Estos podrían incluir plantillas, plugins y archivos subidos como contenido (prácticamente, todo lo que no puede ser descargado desde la web de nuevo). Deberemos almacenar sólo aquellos necesario para comenzar de nuevo, sin perder ningún contenido.
5. Comenzar a buscar dentro de cada plugin y cada archivo fragmentos de texto sospechosos.
Tendremos que prestar especial atención a líneas de texto como “eval(base64_decode)” seguidas de una serie de números y letras ilegibles, así como cualquier secuencia de comandos incluidas desde dominios que no conocemos (como src=”http://[dominiodesconocido]/scriptname.php”>. Base64 es el método de ofuscación elegido para ocultar códigos maliciosos al ojo humano. Si encontramos algo así, significará, necesariamente, que sea dañino, puesto que algunos diseñadores de plantillas (temas) usan Base64 para proteger sus composiciones con copyright de ser alteradas. Ante una situación así, debemos comparar el tema modificado con el original: si no hay código base64 en el último, deberíamos limpiar los archivos modificados.
6. Ir a través de la base de datos tabla por tabla buscando cualquier link sospechoso. Hay que poner especial atención a las tablas de los administradores, los parámetros de configuración y los artículos del blog. Si encuentras un administrador desconocido, elimínalo. Las dos últimas tablas podrían contener un redirección basada en Javascript.
7. Después de que el proceso de inspección y limpieza termine, tendremos que eliminar los archivos de nuestro servidor web.
Si la base de datos también se vio afectada, debemos dejarla de lado y restaurar la copia que se ha revisado de manualmente.
8. Empezar a cargar el script del blog en el servidor. Tendremos que asegurarnos de que lo hemos descargado desde el repositorio oficial y el archivo MD5 es idéntico al que se muestra en la página web oficial. Es obligatorio descarguemos la última versión del script. Modificar el archivo de configuración para que coincida con los datos de nuestro servidor web (usuario de SQL, base de datos, contraseña, ruta del archivo y el resto de la configuración).
Como nota al margen, muchos de los scripts CMS comerciales se pueden descargar desde páginas de software pirateado, con su protección comercial “rota”. Hay que tener en cuenta que el uso de este tipo de scripts es extremadamente peligroso, puesto que suelen contener código “bombed” (backdoors) establecido por el “anulador” (el que pirateó el software original) para poder tomar el control de sitio web de la víctima.
9. Asegurarse de que no se establecen permisos sobre archivos y carpetas más altos que los que realmente necesitamos.
Tendremos que configurar los archivos y carpetas a CHMOD 777 lo que podría permitir a un atacante escribir en ellos y volver a inyectar código malicioso. Por eso, tendremos que consultar la documentación técnica del guion y establecer los permisos adecuados para cada archivo y carpeta. Finalmente, deberemos cambiar las contraseñas de los administradores, del blog y de los FTP.
10. Subir los archivos modificados de nuevo a su lugar correcto a través de FTP. Si tenemos bloqueado el acceso a la raíz del sitio con un archivo .htaccess, tendremos que eliminarlo ahora. Además, buscaremos nuestro blog en un motor de búsqueda usando su nombre o el título del blog como palabras clave y accederemos a los resultados principales mostrados por el motor. La mayoría de las veces, el malware comprueba si la visita se produce desde un motor de búsqueda o si el visitante ha accedido directamente y sólo se muestra en el primer caso.
El bloqueo por culpa de un hackeo podría ocurrir debido a varios factores y algunos de ellos, incluso, escapan a nuestro control. Por ejemplo, una pobre configuración del servidor o el uso en éste de software vulnerable pueden permitir el acceso a nuestra web a un ciberdelincuente.
Cómo minimizar riesgos
· Nunca usar scripts modificados o procedentes de webs poco fiables.
· Mantener la cuenta FTP limpia: no hay que mezclar la cuenta de un blog con otros scripts que casualmente estemos probando en línea. Una pequeña vulnerabilidad en un script puede poner nuestro blog en manos ajenas. Las pruebas deben realizarse siempre en un servidor web instalado localmente
· No añadir extensiones innecesarias o temas al blog. Hay que usar sólo lo que realmente necesitamos y reducir al mínimo la probabilidad de tener un plugin o tema defectuoso. Además, tenemos que asegurarnos de que cualquier plugin proviene de una fuente de confianza, en caso de duda, preguntaremos a la comunidad.
· Generar y almacenar copias de seguridad de SQL con regularidad
· Utilizar contraseñas Fuertes para las cuentas FTP y las cuentas de los administradores. No debemos reveler esas claves bajo ninguna circunstancia. Podríamos, además, instalar una solución antimalware para asegurarnos de que el sistema está limpio de troyanos. Muchos ataques exitosos proceden de claves robadas mediante el uso de keyloggers y troyanos.
· Hay que poner especial interés en seleccionar un buen proveedor de hosting. Tenemos que asegurarnos de que ofrecen backups automáticos diarios, registro de acceso y una configuración adecuada del servidor web para acoger nuestro blog