Actualmente estamos en un momento en el que Internet es el presente y el futuro, y esto hace que poco a poco los ataques malintencionados en Internet y el malware orientado a sitios web vayan creciendo de forma exponencial.
© WavebreakMediaMicro – Fotolia.com
Últimamente, los que trabajamos en el sector del desarrollo web y la administración de servidores nos damos cuenta que cada vez más sitios web están siendo atacados e infectados, también hemos notado, que un alto porcentaje de los sitios infectados son WordPress.
Tabla de contenidos,
¿Por qué WordPress?
La razón por la que WordPress es un objetivo claro es fácil: WordPress actualmente es el CMS más utilizado del mundo.
Quizás su punto débil es también su gran ventaja, su flexibilidad a la hora de personalizar un sitio web con temas visuales y plugins que añadan funcionalidades.
En muchas ocasiones, los bloggers y webmasters que administran sus propios WordPress, no se estan dando cuenta de que hay plugins que han dejado de actualizarse, pero esto en la mayoría de las ocasiones no se notifica en ningún sitio y con el tiempo esos plugins pasan a convertirse en agujeros de seguridad importantes, el blanco perfecto para los atacantes.
¿Cómo protegerse de ataques y malware en WordPress?
Aunque no existe ninguna fórmula mágica que nos permita protegernos del malware y de los ataques (bueno sí, cerrar el blog), existen siete cosas básicas que debemos hacer para que no llegue el primer intento y nos quedemos sin blog:
- Cambiar la dirección de login de WP-ADMIN, evidentemente tampoco conviene tener formularios de inicio de sesión a la vista, si no encuentran la puerta, difícilmente puedan entrar por fuerza bruta (y no, no pueden agujerear la pared).
- Cambiar usuario ADMIN de WordPress por cualquier otro nombre, si el atacante no sabe el usuario de login, lo tiene casi imposible por fuerza bruta.
- Usar contraseñas largas, usando letras, números y símbolos (cuanto más largas sea la contraseña, más tarda en sacarse por fuerza bruta).
- Usar un plugin que nos permita limitar los intentos de inicio de sesión erróneos y bloquear la dirección IP del usuario. Algunos plugins que permiten esto son: Limit Login Attemps y WordFence Security (es suite de seguridad para WordPress).
- Actualizar siempre los plugins instalados a la última versión, y revisar la fecha de publicación de la última versión de los mismos. Si un plugin lleva más de 6 meses sin actualizarse podría ser un agujero de seguridad importante.
- NUNCA utilizar temas visuales y plugins nulled o piratas, ya que normalmente este tipo de código suele venir con “regalo”, es decir, suelen traer un “backdoor”, una puerta trasera para conseguir tomar el control de un WordPress.
- Mantener WordPress SIEMPRE actualizado, a muchos de nuestros clientes los “hackean” por no actualizar WordPress por cuestiones de compatibilidad.
¿El hosting puede ayudar a la seguridad?
Evidentemente el proveedor de hosting tiene mucha importancia en la seguridad, pero normalmente el nivel de conocimientos del atacante a la hora de acceder a un sitio web WordPress a través del servidor de hosting debe ser muchísimo mayor.
El proveedor puede implementar medidas de protección pasivas, pero no activas. Estas son algunas:
- Analizar los archivos del sitio web que están dentro del servidor en busca de malware (virus) o backdoors (puertas traseras que puedan atraer virus).
- Detectar y bloquear ataques de fuerza bruta, por software o manualmente en caso de detectar comportamientos extraños en el sitio.
- En el caso del hosting compartido, es importante proteger a los clientes unos de otros usando sistemas como CloudLinux que aumentan considerablemente la seguridad dentro del servidor.
- Controlar la subida de archivos .php mediante formularios de subida de archivos.
- Tener un buen firewall que bloquee los intentos de acceso no autorizados y los ataques por fuerza bruta.
- Usar software estable y totalmente probado.
El primer paso para tener un sitio web seguro e impenetrable es cosa del proveedor de hosting, si el proveedor es seguro y nosotros tomamos las medidas de seguridad oportunas en nuestro WordPress, no tendremos de que preocuparnos.
Álvaro Fontela Sánchez centra su actividad profesional en WordPress, trabaja en la empresa de alojamiento y desarrollo de la que es Co-Founder, Raiola Networks, donde se dedican a las tecnologías web pero especializándose en WordPress y en tareas de administración y optimización de servidores Linux.
Hola Álvaro.
Muy interesante lo que comentas. Me queda la duda: ¿cómo puedo cambiar la dirección de login de WP-ADMIN?
Hola Olmo, para cambiar WP-ADMIN por cualquier otra URL de login puedes utilizar el plugin Lockdown WP Admin, el propio plugin te permite bloquear el WP-ADMIN para obligar a entrar por la nueva URL de login.
Un saludo.