• iborra
    borde slide
    DESCUBRE A TRAVÉS DE
    borde slide
    NUESTRO BLOG
    Artículos de interés sobre diseño web

Consejos para prevenir y detectar malware en Wordpress

seguridad wordpress

Wordpress es una plataforma segura de por si, pero siempre viene bien prevenir. Si piensas que por estar empezando en esto del Wordpress no vas a recibir ataques tan pronto, estás muy equivocado, los más novatos son los más vulnerables.

Por muy seguro que sea Wordpress, debemos reconocer que no es infalible. La seguridad no sólo depende de Wordpress, sino también del que lo usa. Por suerte, Wordpress dispone de una amplia comunidad y un equipo de desarrolladores dedicado permanentemente a mejorar y corregir los errores de la plataforma.

No solemos dar importancia a la seguridad en Wordpress hasta que recibimos algún tipo de ataque. Antes de dar un listado de plugins que nos ayude a dar más seguridad a nuestro CMS, es bueno seguir unas buenas prácticas de lo que se debe hacer para no ser tan vulnerables a posibles ataques:

  • Tener un hosting de calidad.
    Los proveedores de hosting más baratos suelen tener serios problemas de seguridad ya que acogen a cualquiera, por lo tanto los hackers son más afines a estos tipos de hosting.

  • Mantener todo actualizado.
    Es importante que la versión de Wordpress, nuestro tema o plantilla y los plugins se encuentren siempre actualizados. Cuando salga una nueva versión de Wordpress no actualicéis tan rápido para dar tiempo a la plantilla y plugins a adaptarse a esa nueva versión.

  • Proteger el directorio wp-admin.
    Para ello podéis seguir el tutorial Cómo proteger wp-admin de Wordpress, en el cuál se explica cómo mejorar la protección del directorio wp-admin, el cual contiene los archivos de nuestra administración.

  • Establecer una contraseña fuerte.
    El único password seguro es el que nunca consigues recordar. Podéis utilizar la web Password para crear una contraseña de alto nivel de seguridad de forma online.

  • Proteger los archivos wp-config y .htaccess.
    Abrir vuestro archivo wp-config.php, encontraréis un texto similar a lo que pongo a continuación, sólo tenéis que reemplazarlo por el que veréis al entrar al generador de claves de Wordpress. También comprobar si el archivo wp-config.php no tiene ningún código raro, es decir, que sea parecido al archivo wp-config-sample.php.

    define('AUTH_KEY', 'pon aquí tu frase aleatoria');
    define('SECURE_AUTH_KEY', 'pon aquí tu frase aleatoria');
    define('LOGGED_IN_KEY', 'pon aquí tu frase aleatoria');
    define('NONCE_KEY', 'pon aquí tu frase aleatoria');
    define('AUTH_SALT', 'pon aquí tu frase aleatoria');
    define('SECURE_AUTH_SALT', 'pon aquí tu frase aleatoria');
    define('LOGGED_IN_SALT', 'pon aquí tu frase aleatoria');
    define('NONCE_SALT', 'pon aquí tu frase aleatoria');
    

    Luego abrimos el archivo .htaccess y copiamos el siguiente código. Esto lo que hará es proteger los archivos wp-config y .htaccess.

    # protege el archivo wp-config y htaccess
    <files wp-config.php>
    order allow,deny
    deny from all
    </files>
    <files .htaccess>
    order allow,deny
    deny from all
    </files>
    
  • Deshabilitar las sugerencias del login.
    Por defecto, Wordpress muestra mensajes de error cuando alguien intenta entrar con un nombre de usuario o contraseña incorrectos en la página de inicio de sesión. Seguir el tutorial Cómo deshabilitar las sugerencias del login en Wordpress para deshabilitar esos mensajes.

  • Realizar copias de seguridad.
    Debemos hacer copias de seguridad de todo nuestro sitio web y de la base de datos de manera periódica.

  • Desinstalar los plugins y temas que no se utilicen.
    Si no los utilizáis lo mejor es no tenerlos. Igualmente es bueno desinstalar plugins que ya no reciben soporte y sustituirlos por otros parecidos que si tengan actualizaciones. Borrar todos los temas y dejar únicamente vuestro parent theme y child theme.

  • Proteger la carpeta de archivos subidos.
    La carpeta uploads, situada dentro de wp-content, y donde se suben las imágenes y documentos que adjuntamos a las publicaciones en Wordpress, es la más susceptible de ataques. Para protegerla, primero creamos un nuevo archivo .htaccess, luego copiamos y pegamos el siguiente código y el archivo lo guardamos dentro de la carpeta uploads.

    <Files ~ ".*..*">
    	Order Allow,Deny
    	Deny from all
    </Files>
    <FilesMatch ".(jpg|jpeg|jpe|gif|png|bmp|tif|tiff|doc|pdf|rtf|xls|numbers|odt|pages|key|zip|rar)$">
    	Order Deny,Allow
    	Allow from all
    </FilesMatch>
    
  • Cambiar el usuario admin.
    Por defecto Wordpress llama al usuario de instalación "admin". Aseguraros de cambiarlo y poner uno que recordéis.

  • Deshabilitar el editor de archivos.
    Si no utilizáis este editor que viene integrado con Wordpress, lo mejor es deshabilitarlo para evitar que lo toque quien no deba. Para ello se debe poner el siguiente código dentro del archivo wp-config.php.

    define( 'DISALLOW_FILE_EDIT', true );
    
  • Cambiar el prefijo que utiliza Wordpress en la base de datos.
    Todas las tablas tienen el prefijo "wp_". Para evitar que puedan modificar cualquier tabla mediante inyección SQL es bueno cambiar el prefijo cuando se instala Wordpress. Si ya lo tenéis instalado también se puede cambiar, para ello, acceder al tutorial Cómo cambiar el prefijo de la base de datos de Wordpress.

  • Permisos de ficheros y carpetas.
    Aseguraros de que los permisos son los correctos, 644 para los archivos, 755 para las carpetas y 600 para wp-config.php.

  • Darse de alta en Google Webmaster Tools.
    Las herramientas para webmasters de Google nos advierte cuando se ha insertado código malicioso en nuestro sitio web. Lo mejor es darse de alta y consultarlo periódicamente.

  • Evitar la vulnerabilidad pingback.
    Está relacionada con el protocolo XML-RPC, que es el que permite que Wordpress se conecte, por ejemplo, con la aplicación Wordpress para iOS o Android, así como editores offline y algunos sistemas de sindicación de contenidos, por lo que en principio inactivar este protocolo no parece recomendable. Para protegerlo añadimos el siguiente código dentro del archivo .htaccess.

    # proteger xmlrpc
    <Files xmlrpc.php>
    	Order Deny,Allow
    	Deny from all
    </Files>
    
  • Eliminar archivos innecesarios o sospechosos.
    Dentro de nuestra carpeta de Wordpress hay archivos innecesarios que podemos eliminar, como licencia.txt, license.txt, readme.html y wp-config-sample.php. También, dentro de la carpeta wp-content solo deberían aparecer las carpetas languages, plugins, themes, uploads y el archivo index.php, si se encuentra cualquier otro archivo o carpeta eliminarlo.

  • Impedir el acceso de sploggers.
    Si por algún motivo permitimos los registros de usuarios en nuestro Wordpress debemos protegernos contra los conocidos como sploggers, usuarios que se registran masivamente en webs para intentar acceder a nuestra configuración, añadir comentarios spam o incluso inyectar malware. Para ello mantener desactivada la casilla Miembros - Cualquiera puede registrarse que se encuentra en Ajustes -> Generales de nuestra administración. Si necesitamos tenerlo activado, aconsejo instalar el plugin WangGuard.

  • No instalar nada que no proceda de un sitio fiable.
    Debemos tener mucho cuidado a la hora de instalar un tema o un plugin, ya que si la fuente donde lo descargamos no es fiable, nos podría ocurrir que le estemos abriendo las puertas a un malware o facilitando que nos hackeen la página.

  • Protegerse del spam.
    Controlar el spam en los comentarios, bien con un captcha como el plugin Really Simple CAPTCHA o yendo a Ajustes -> Comentarios de nuestra administración y señalizar que se deben aprobar los comentarios. También es importante tener activo el plugin Akismet.

  • Instalar un plugin de seguridad.
    En el siguiente apartado os voy a recomendar unos plugins de seguridad para nuestro Wordpress, y que nos ayudarán a prevenir todo tipo de ataques y malware.

Aparte de todos estos consejos o trucos existen algunos más pero esto ya es una buena base para proteger Wordpress, iré actualizando esta lista. También podéis realizar un escaneo online a vuestro sitio web desde la página web de Sucuri.

7 Plugins recomendados para detectar malware en nuestro sitio de Wordpress

Existe una gran cantidad de plugins para detectar malware en Wordpress, es imposible que conozca todos, pero ahí va mi lista de 7 plugins bastante interesantes sobre este tema.

  1. Wordfence Security
  2. Wordfence Security, es uno de los plugins más utilizados y descargados. Su capacidad de análisis y detección de malware e inyecciones de código es bastante buena, bloquea intentos de inicio de sesión, analiza malware y dispone de un firewall muy potente. Hay plugins mejores que Wordfence pero es uno de los más efectivos, ha sido descargado más de 1 millón de veces.

    Ir al sitio oficial del plugin

  3. Anti-Malware Security and Brute-Force Firewall
  4. Anti-Malware Security and Brute-Force Firewall, escanea toda la instalación en busca de virus y software malicioso, es realmente potente y aunque puede llegar a consumir muchísimos recursos al analizar, es capaz de detectar código inyectado que otros plugins no son capaces de detectar. Plugin bastante fácil de utilizar, recomendable.

    Ir al sitio oficial del plugin

  5. All In One WP Security & Firewall
  6. All in One WP Security & Firewall protege el panel de administración de Wordpress, los logins, el sistema de archivos y sus correspondientes permisos, el acceso a la base de datos MySQL de Wordpress, bloqueo de bots y spammers, protección contra copia de contenido y además mantiene un firewall de aplicación que puede funcionar de forma automática o puede ser usado manualmente. Es una de las mejores herramientas para securizar Wordpress.

    Ir al sitio oficial del plugin

  7. BulletProof Security
  8. BulletProof Security, es uno de los mejores suites de seguridad para Wordpress. Permite a los administradores de sitios web dominar los ataques de fuerza bruta, dispone de un asistente que permite securizar la instalación de Wordpress paso a paso, programar la creación de copia de seguridad de base de datos, la protección de .htaccess, el registro de logins y errores, así como el modo de mantenimiento de frontend y backend. No tiene capacidades de análisis en la versión gratuita.

    Ir al sitio oficial del plugin

  9. iThemes Security
  10. iThemes Security, antes llamado Better WP Security, es un herramienta muy potente y una solución muy completa para proteger Wordpress, debemos configurarlo bien para no cargarnos la instalación de Wordpress y dejarlo inaccesible. Es más difícil de utilizar por la cantidad de parámetros que se deben configurar. Protege contra ataques de fuerza bruta y dispone de un firewall con bloqueo muy potente y personalizable.

    Ir al sitio oficial del plugin

  11. Sucuri Security
  12. Sucuri Security, es un plugin o suite de seguridad para Wordpress que tiene bastantes funcionalidades, aunque la mayoría de las funcionalidades sólo pueden ser utilizadas en la versión Premium. Ofrece las funciones del escaneo remoto de malware, la supervisión de la integridad de archivos y múltiples opciones de listas negras.

    Ir al sitio oficial del plugin

  13. NinjaFirewall
  14. NinjaFirewall, es un plugin muy simple, pero altamente efectivo como WAF (Web Application Firewall). Permite bloquear peticiones por POST y GET que pueden llegar a dar resultados inseguros, bloquea algunos fallos de seguridad genéricos que puedan aparecer en Wordpress y escanea, desinfecta y rechaza cualquier solicitud HTTP / HTTPS enviado a un script PHP antes de que llegue Wordpress o cualquiera de sus plugins. También quiero destacar aquí otro plugin parecido, Shield Wordpress Security.

    Ir al sitio oficial del plugin

Existen otros plugins interesantes pero con todos estos tenéis más que de sobra para poder elegir entre alguno de ellos. Es aconsejable instalar un plugin de seguridad pero también hacer caso de los consejos dichos antes.

Espero que os pueda servir esta guía para proteger mucho mejor vuestro sitio de Wordpress.

Comenta y comparte este post!

¿Tienes alguna sugerencia, idea, consejo, duda, pregunta, agradecimiento, encuentras algún error o este post no está actualizado? Entonces esperamos tu comentario.

También puedes recomendar y compartir este post. Estamos muy agradecidos por tu apoyo!

Comentarios (0)

No hay Comentarios todavía en este post. Podrías ser el primero!

Deja un comentario

Este blog se nutre de los comentarios de los visitantes! Así que vamos, únete a nosotros!

Por favor esperamos que entiendas que se eliminarán aquellos comentarios que no tengan nada que ver con el contenido de este post o siempre que se utilicen palabras ofensivas.

COMENTARIO PARA ESTE POST

Imagen mínimo: 300x300 - Formato: jpg o png - Tamaño máximo: 10Mb

CAPTCHA code