WordPress es una plataforma segura de por si, pero siempre viene bien prevenir. Si piensas que por estar empezando en esto del WordPress no vas a recibir ataques tan pronto, estás muy equivocado, los más novatos son los más vulnerables.
Por muy seguro que sea WordPress, debemos reconocer que no es infalible. La seguridad no sólo depende de WordPress, sino también del que lo usa. Por suerte, WordPress dispone de una amplia comunidad y un equipo de desarrolladores dedicado permanentemente a mejorar y corregir los errores de la plataforma.
No solemos dar importancia a la seguridad en WordPress hasta que recibimos algún tipo de ataque. Antes de dar un listado de plugins que nos ayude a dar más seguridad a nuestro CMS, es bueno seguir unas buenas prácticas de lo que se debe hacer para no ser tan vulnerables a posibles ataques.
Índice del artículo
Como prevenir malware en WordPress
Tener un hosting de calidad.
Los proveedores de hosting más baratos suelen tener serios problemas de seguridad ya que acogen a cualquiera, por lo tanto los hackers son más afines a estos tipos de hosting.
Mantener todo actualizado.
Es importante que la versión de WordPress, nuestro tema o plantilla y los plugins se encuentren actualizados realizando un mantenimiento del sitio cada cierto tiempo. Cuando salga una nueva versión de WordPress no actualicéis tan rápido para dar tiempo a la plantilla y plugins a adaptarse a esa nueva versión.
Proteger el directorio wp-admin.
Para ello podéis seguir el artículo Proteger wp-admin de WordPress, en el cuál se explica cómo mejorar la protección del directorio wp-admin, el cual contiene los archivos de nuestra administración.
Establecer una contraseña fuerte.
El único password seguro es el que nunca consigues recordar. Podéis utilizar la web Password para crear una contraseña de alto nivel de seguridad.
Proteger los archivos wp-config y .htaccess.
Abrir vuestro archivo wp-config.php, encontraréis un texto similar a lo que pongo a continuación, sólo tenéis que reemplazarlo por el que veréis al entrar al generador de claves de WordPress. También comprobar si el archivo wp-config.php no tiene ningún código raro, es decir, que sea similar al archivo wp-config-sample.php.
define('AUTH_KEY', 'pon aquí tu frase aleatoria');
define('SECURE_AUTH_KEY', 'pon aquí tu frase aleatoria');
define('LOGGED_IN_KEY', 'pon aquí tu frase aleatoria');
define('NONCE_KEY', 'pon aquí tu frase aleatoria');
define('AUTH_SALT', 'pon aquí tu frase aleatoria');
define('SECURE_AUTH_SALT', 'pon aquí tu frase aleatoria');
define('LOGGED_IN_SALT', 'pon aquí tu frase aleatoria');
define('NONCE_SALT', 'pon aquí tu frase aleatoria');
Luego abrimos el archivo .htaccess y copiamos el siguiente código. Esto lo que hará es proteger los archivos wp-config y .htaccess.
# protege el archivo wp-config y htaccess <files wp-config.php> order allow,deny deny from all </files> <files .htaccess> order allow,deny deny from all </files>
Deshabilitar las sugerencias del login.
Por defecto, WordPress muestra mensajes de error cuando alguien intenta entrar con un nombre de usuario o contraseña incorrectos en la página de inicio de sesión. Seguir el artículo Cómo deshabilitar las sugerencias del login en WordPress para deshabilitar esos mensajes.
Realizar copias de seguridad.
Debemos hacer copias de seguridad de todo nuestro sitio web y de la base de datos de manera periódica. Bien a través de nuestro hosting o con ayuda de algún plugin como puede ser iThemes Security, más abajo aconsejo este plugin.
Desinstalar los plugins y temas que no se utilicen.
Si no los utilizáis lo mejor es no tenerlos. Igualmente es bueno desinstalar plugins que ya no reciben soporte y sustituirlos por otros parecidos que si tengan actualizaciones. Borrar todos los temas y dejar únicamente vuestro parent theme y child theme.
Proteger la carpeta de archivos subidos.
La carpeta uploads, situada dentro de wp-content, y donde se suben las imágenes y documentos que adjuntamos a las publicaciones en WordPress, es la más susceptible de ataques. Para protegerla, primero creamos un nuevo archivo .htaccess, luego copiamos y pegamos el siguiente código y el archivo lo guardamos dentro de la carpeta uploads.
<Files ~ ".*..*"> Order Allow,Deny Deny from all </Files> <FilesMatch ".(jpg|jpeg|jpe|gif|png|bmp|tif|tiff|doc|pdf|rtf|xls|numbers|odt|pages|key|zip|rar)$"> Order Deny,Allow Allow from all </FilesMatch>
Cambiar el usuario admin.
Por defecto WordPress llama al usuario de instalación «admin». Aseguraros de cambiarlo. Actualmente, durante el proceso de instalación de WordPress, se puede poner el nombre de usuario que queráis.
Deshabilitar el editor de archivos.
Si no utilizáis este editor que viene integrado dentro del admin de WordPress, lo mejor es deshabilitarlo para evitar que lo toque quien no deba. Para ello se debe poner el siguiente código dentro del archivo wp-config.php.
define( 'DISALLOW_FILE_EDIT', true );
Cambiar el prefijo que utiliza WordPress en la base de datos.
Todas las tablas tienen el prefijo «wp_». Para evitar que puedan modificar cualquier tabla mediante inyección SQL es bueno cambiar el prefijo cuando se instala WordPress. Si ya lo tenéis instalado también se puede cambiar, para ello, acceder al artículo Cómo cambiar el prefijo de la base de datos de WordPress.
Permisos de ficheros y carpetas.
Aseguraros de que los permisos son los correctos, 644 para los archivos, 755 para las carpetas y 600 para wp-config.php.
Darse de alta en Google Search Console.
Las herramientas para webmasters de Google nos advierte cuando se ha insertado código malicioso en nuestro sitio web. Lo mejor es darse de alta y consultarlo periódicamente.
Evitar la vulnerabilidad pingback.
Está relacionada con el protocolo XML-RPC, que es el que permite que WordPress se conecte, por ejemplo, con la aplicación WordPress para iOS o Android, así como editores offline y algunos sistemas de sindicación de contenidos, por lo que en principio inactivar este protocolo no parece recomendable. Para protegerlo añadimos el siguiente código dentro del archivo .htaccess.
# proteger xmlrpc <Files xmlrpc.php> Order Deny,Allow Deny from all </Files>
Eliminar archivos innecesarios o sospechosos.
Dentro de nuestra carpeta de WordPress hay archivos innecesarios que podemos eliminar, como licencia.txt, license.txt, readme.html y wp-config-sample.php. También, dentro de la carpeta wp-content solo deberían aparecer las carpetas languages, plugins, themes, upgrade, uploads y el archivo index.php, si se encuentra cualquier otro archivo o carpeta eliminarlo.
Impedir el acceso de sploggers.
Si por algún motivo permitimos los registros de usuarios en nuestro WordPress debemos protegernos contra los conocidos como sploggers, usuarios que se registran masivamente en webs para intentar acceder a nuestra configuración, añadir comentarios spam o incluso inyectar malware. Para ello mantener desactivada, siempre que sea posible, la casilla Miembros – Cualquiera puede registrarse que se encuentra en Ajustes -> Generales de nuestra administración.
No instalar nada que no proceda de un sitio fiable.
Debemos tener mucho cuidado a la hora de instalar una plantilla o un plugin, ya que si la fuente donde lo descargamos no es fiable, nos podría ocurrir que le estemos abriendo las puertas a un malware o facilitando que nos hackeen la página.
Protegerse del spam.
Controlar el spam en los comentarios, bien con un captcha o yendo a Ajustes -> Comentarios de nuestra administración y señalizar que se deben aprobar los comentarios. También es importante tener activo el plugin Akismet.
Instalar un plugin de seguridad.
En el siguiente apartado os voy a recomendar unos plugins de seguridad para nuestro WordPress, y que nos ayudarán a prevenir todo tipo de ataques y malware.
Aparte de todos estos consejos o trucos existen algunos más pero esto ya es una buena base para proteger WordPress. También podéis realizar un escaneo online a vuestro sitio web desde la página web de Sucuri.
7 Plugins recomendados para detectar malware en nuestro sitio de WordPress
Existe una gran cantidad de plugins para detectar malware en WordPress, pero ahí va mi lista de 7 plugins bastante interesantes sobre este tema.
- Wordfence Security
Wordfence Security, es uno de los plugins más utilizados y descargados. Su capacidad de análisis y detección de malware e inyecciones de código es bastante buena, bloquea intentos de inicio de sesión, analiza malware y dispone de un firewall muy potente. Hay plugins mejores que Wordfence pero es uno de los más efectivos, ha sido descargado más de 3 millones de veces.
Ir al sitio oficial del plugin
- iThemes Security
iThemes Security, antes llamado Better WP Security, es un herramienta muy potente y una solución muy completa para proteger WordPress, debemos configurarlo bien para no cargarnos la instalación de WordPress y dejarlo inaccesible. Es más difícil de utilizar por la cantidad de parámetros que se deben configurar. Protege contra ataques de fuerza bruta y dispone de un firewall con bloqueo muy potente y personalizable.
Ir al sitio oficial del plugin
- All In One WP Security & Firewall
All in One WP Security & Firewall protege el panel de administración de WordPress, los logins, el sistema de archivos y sus correspondientes permisos, el acceso a la base de datos MySQL de WordPress, bloqueo de bots y spammers, protección contra copia de contenido y además mantiene un firewall de aplicación que puede funcionar de forma automática o puede ser usado manualmente. Es una de las mejores herramientas para securizar WordPress.
Ir al sitio oficial del plugin
- Anti-Malware Security and Brute-Force Firewall
Anti-Malware Security and Brute-Force Firewall, escanea toda la instalación en busca de virus y software malicioso, es realmente potente y aunque puede llegar a consumir muchísimos recursos al analizar, es capaz de detectar código inyectado que otros plugins no son capaces de detectar. Plugin bastante fácil de utilizar, recomendable.
Ir al sitio oficial del plugin
- BulletProof Security
BulletProof Security, es uno de los mejores suites de seguridad para WordPress. Permite a los administradores de sitios web dominar los ataques de fuerza bruta, dispone de un asistente que permite securizar la instalación de WordPress paso a paso, programar la creación de copia de seguridad de base de datos, la protección de .htaccess, el registro de logins y errores, así como el modo de mantenimiento de frontend y backend. No tiene capacidades de análisis en la versión gratuita.
Ir al sitio oficial del plugin
- Sucuri Security
Sucuri Security, es un plugin o suite de seguridad para WordPress que tiene bastantes funcionalidades, aunque la mayoría de las funcionalidades sólo pueden ser utilizadas en la versión Premium. Ofrece las funciones del escaneo remoto de malware, la supervisión de la integridad de archivos y múltiples opciones de listas negras.
Ir al sitio oficial del plugin
- NinjaFirewall
NinjaFirewall, es un plugin muy simple, pero altamente efectivo como WAF (Web Application Firewall). Permite bloquear peticiones por POST y GET que pueden llegar a dar resultados inseguros, bloquea algunos fallos de seguridad genéricos que puedan aparecer en WordPress y escanea, desinfecta y rechaza cualquier solicitud HTTP / HTTPS enviado a un script PHP antes de que llegue WordPress o cualquiera de sus plugins. También quiero destacar aquí otro plugin parecido, Shield Security.
Ir al sitio oficial del plugin
Existen otros plugins interesantes pero con todos estos tenéis más que de sobra para poder elegir entre alguno de ellos. Es aconsejable instalar un plugin de seguridad pero también hacer caso de los consejos dichos antes.
!Si te gustó este artículo, no dejes de visitar el blog o suscribirte a la newsletter! | Iborra Web Design
