La seguridad de WordPress se ha convertido en un aspecto muy importante a tener en cuenta, tan en cuenta que se ha convertido en una de las tareas de mantenimiento más importantes que se le ha de realizar a una instalación de WordPress.
© Voyagerix – Fotolia.com
La principal ventaja de WordPress es que es muy ampliable mediante plugins, y tanto en el área de la seguridad como cualquier otro área, existen muchos plugins que nos ayudan a cubrir todo lo que necesitemos que haga nuestra instalación de WordPress.
¿Qué áreas es conveniente securizar en una instalación de WordPress?
- El acceso o login, tanto para usuarios como para administradores, conviene ocultar el acceso para que ciertos bots no puedan hacer ataques de fuerza bruta.
- Bloqueo de ataques de fuerza bruta que intentan acceder a alguna parte de la web, bloqueo tras cierto número de intentos fallidos.
- Implementación de un firewall de aplicación que bloquee inyecciones de código y otras acciones hostiles realizadas desde el exterior para intentar entrar a nuestra instalación de WordPress.
- Revisión continua y desinfección de malware y otro tipo de infecciones que pueden llegar a comprometer por completo nuestro sitio web.
- Bloqueo de spammers y bots que llenan los comentarios y los formularios de contacto de basura y “mierda”, es importante bloquearlos para que no puedan interferir en otros aspectos de nuestra web.
En este artículo vamos a ver una serie de plugins organizados por categorías que nos permiten securizar las diferentes partes de una instalación de WordPress, desde realizar análisis de malware en WordPress, hasta activar y desactivar opciones para que WordPress sea más seguro.
Tabla de contenidos,
SUITES DE SEGURIDAD PARA WORDPRESS
Según mi experiencia, existen varias suites de seguridad para WordPress que incluyen todo lo necesario para poder proteger nuestro WordPress de multiples amenazas con un solo plugin.
- WordFence Security: Para nosotros una de las mejores soluciones para securizar una instalación de WordPress, incluye funcionalidades de análisis de malware, protección contra ataques de fuerza bruta y bloqueo de direcciones IP, es más, incluye hasta un sistema de cache y un sistema de filtrado de tráfico en vivo.
- iThemes Security: Es otra gran suite de seguridad para WordPress, pero en este caso son necesarios más conocimientos técnicos para conseguir que funcione correctamente y no nos reviente la instalación de WordPress. Incluye todas las funcionalidades que se te pueden ocurrir para securizar una instalación de WordPress.
- All in One WP Security & Firewall: Es un plugin muy similar a iThemes Security, de hecho tiene el mismo problema, consume bastantes recursos ya que incluye todo lo que puedes necesitar para securizar tu instalación de WordPress.
Cualquiera de estas tres suites de seguridad para WordPress pueden ser ideales para cumplir las funciones de securizacion y análisis de malware en tu sitio web, aunque debes tener en cuenta que la más fácil de usar es Wordfence Security, con iThemes Security debes tener cuidado y All in One WP Security & Firewall suele consumir bastantes recursos de forma regular.
ANALISIS DE MALWARE EN WORDPRESS
Los antivirus para WordPress existen, es decir, existen plugins que permiten analizar la instalación y todos sus elementos en busca de malware que pueda estar causando problemas en la instalación o que los pueda causar en un futuro, en este caso vamos a ver varios plugins que pueden hacer eso:
- Wordfence Security: Este plugin ya lo hemos comentado en la anterior sección de suites de seguridad para WordPress, pero es necesario recalcar la potente herramienta de análisis de malware que incluye, capaz de detectar malware actual e incluso puertas traseras.
- Anti-Malware Security and Brute-Force Firewall: Es una de las soluciones de análisis de malware para WordPress más potentes que me he encontrado, consume muchos recursos al analizar y realmente solo sirve para analizar malware, pero es útil.
- Antivirus: Es un plugin mucho más pequeño que los anteriores, y realmente solo sirve para buscar malware en los archivos del theme que usamos. Su método de búsqueda y análisis es simple, pero bastante efectivo.
Cualquiera de los tres plugins anteriormente nombrados son muy útiles para usarlos en desinfecciones de WordPress o para tener nuestra instalación completamente limpia.
BLOQUEO DE ATAQUES EN WORDPRESS
Los ataques se han vuelto un problema en WordPress, y si no somos capaces de bloquear estos ataques la cosa puede llegar a volverse muy molesta, por eso vamos a listar tres plugins útiles para bloquear todo tipo de ataques externos:
- NinjaFirewall (WP Edition): Este plugin lo usamos normalmente en nuestras securizaciones, es una muy buena opción ya que protege contra todo tipo de ataques y peticiones sospechosas por POST y GET.
- Shield (antes Simple Firewal): No he probado este plugin desde que ha cambiado de nombre, pero supongo que seguirá siendo el mismo que antes. Es un potente firewall de aplicación para WordPress, que además permite luchar contra el SPAM y contra los ataques por fuerza brutal.
- WPSecureOps Easy Firewall: No es realmente un firewall pero como permite añadir reglas de bloqueo contra algunos tipos de ataques, pues lo añadimos en este listado.
WPSecureOps Easy Firewall permite hacer algunas cosas como desactivar el XMLRPC para evitar debilidades o bloquear el hotlinking.
La protección contra ataques externos en WordPress no solo son plugins, el proveedor de hosting debe configurar el servidor siguiendo una serie de prácticas para que ciertos ataques no lleguen a la instalación de WordPress.
BLOQUEO DE SPAM EN WORDPRESS
Actualmente el SPAM puede ser un problema, ya que puede “rellenar” las bases de datos de los sitios webs o incluso puede llegar a dar problemas de SEO y de mala imagen. Puedes revisar los siguientes plugins para proteger tu instalación de los spammers:
- Akismet: Es el plugin de bloqueo de SPAM más usado ya que viene con la instalación predeterminada de WordPress, pero no por eso es el más potente y efectivo, sino que personalmente creo que es el peor plugin antispam para WordPress ya que su método está bastante anticuado por necesitar conexión con los servidores de Automattic.
- Anti-spam: Este es el plugin de bloqueo de SPAM que usamos normalmente, ya que es tan simple que solo bloquea bots, pero los bloquea bien y no consume ningún recurso, ya que no tiene ni configuración.
- Antispam Bee: Es algo más complejo que el plugin Anti-Spam, de hecho su funcionamiento es bastante más complejo y en algunos casos puede ser bastante más efectivo a la hora de luchar contra los spammers.
Normalmente la gente tiene instalado Akismet, pero nosotros normalmente instalamos el plugin Anti-Spam, ya que garantiza pelear contra el spam sin ningún tipo de rodeo ni configuración.
PROTEGER EL LOGIN DE WORDPRESS
El login de WordPress es una de las partes que más ataques reciben y que más cuesta proteger, ya que de forma predeterminada WordPress no trae ningún tipo de funcionalidad que nos permita protegerla. Vamos a listar tres plugins que te ayudaran a protegerte de ataques de fuerza bruta y otros ataques externos contra el wp-login.php y wp-admin:
- LockDown WP Admin: Se trata de un plugin realmente simple que nos permite hacer dos cosas, por un lado podemos cambiar la URL del wp-admin, también podemos ocultar el wp-admin y hacer que siempre pasen por el wp-login.php y finalmente podemos establecer una contraseña por .htaccess.
- Limit Login Attemps: Es un plugin realmente simple, nos permite bloquear ataques prohibiendo el acceso a direcciones IP que realizan varios intentos de acceso sin conseguirlo.
- Hidden WP Admin: Otro plugin simple, como su nombre indica, permite ocultar el wp-admin de WordPress, esto también lo permite hacer el plugin LockDown WP Admin.
AUDITORIA DE SEGURIDAD Y AJUSTES EN WORDPRESS
- WP Security Audit Log: Este plugin permite realizar auditorías de opciones y configuración de WordPress para conseguir que nuestra instalación sea lo más segura posible. WP Security Audit Log te dirá exactamente lo que tienes que cambiar en tu WordPress para securizar tu WordPress, además en algunos casos podrás cambiar la configuración desde el plugin.
- SecureMoz Security Audit: Al igual que en el caso anterior, SecureMoz Security Audit permite revisar las opciones de seguridad de WordPress para conseguir que la instalación sea mucho más segura.
- Total Security: Otra alternativa más, aunque con menos opciones ya que es un plugin mucho más simple, permite ajustar la instalación de WordPress y tiene un buen escáner de vulnerabilidades.
El uso de estos plugins es recomendable, pero es necesario tener cuidado con las opciones que activamos o desactivamos ya que pueden influir de diversas formas en el funcionamiento general de WordPress hasta el punto de dejar fuera de juego nuestra instalación de WordPress.
Álvaro Fontela Sánchez centra su actividad profesional en WordPress, trabaja en la empresa de alojamiento y desarrollo de la que es Co-Founder, Raiola Networks, donde se dedican a las tecnologías web pero especializándose en WordPress y en tareas de administración y optimización de servidores Linux.
gracias por compartir este plugin con nosotros