Aprende a mejorar la seguridad en WordPress

En esta entrada queremos hablar de WordPress, una de las plataformas más extendidas en tienda online y web corporativa, así como en blog.

Comenzó extendiéndose por su facilidad de uso y dinamismo y estamos comprobando que con el plugin Woocomerce está ganando terreno en sistemas de tiendas online a plataformas que estaban más tiempo asentadas como Prestashop y Magento.

Debemos mencionar que WordPress está siendo una de las plataformas más atacadas y con más fallos de seguridad detectados en los últimos años. Es por ello que cualquier medida que nos ayude a protegerlo debe tomar un valor importante en nuestra implantación.

Conseguir mayor seguridad en WordPress

En digitalDot hemos encontrado varias tiendas, o sistemas de web corporativas hackeadas y alteradas o con defacement que suelen dañar la imagen de la empresa y todas ellas tenían un mismo punto en común: estaban basadas en WordPress.

Algunas recomendaciones de seguridad que proponemos son:

Actualizaciones

Debemos tener actualizado tanto el núcleo de WordPress como plugin y desarrollos. Esto nos evitará fallos de seguridad a través de bug conocidos o Exploit, pero sólo las actualizaciones no serán suficientes para mantener a salvo nuestro Wordpress.

Una recomendación que os proponemos desde digitalDot es cambiar la ruta wp-admin y wp-login. Es una técnica de seguridad por ofuscación, ocultar las rutas por defecto de gestión del CMS para evitar ataques de fuerza bruta.

No está demás que el backend para nuestra web este protegido con algún sistema como CAPTCHA o Latch porque son dos plugin que dificultaran los ataques de fuerza bruta. En nuestros hostings incluimos Fail2Ban un sistema de detección de ataques que bloquea las IP a través de reglas de cortafuegos.

Plugin para mantener a salvo nuestro backend

Google No CAPTCHA reCAPTCHA

Latch. Un plugin que permite mantener bloqueados los accesos desde el móvil.

WPS Hide Loging. Para ocultar la ruta de administración de nuestro Wordpress.


seguridad wordpress


Otro factor importante es proteger nuestras carpetas y la exploración de nuestra instalación en sistemas APACHE o Nginx con Plesk, suele venir desactivado, y no está demás añadir en nuestro htaccess la directiva que proteja la exploración de direcciones.

APACHE: Options -Indexe

Para proteger los archivos de Wordpress es importante que controlemos la versión de nuestros archivos, el código, fecha de modificación y estructura, de forma que podamos controlar cambios o alteraciones que no han sido programadas por el equipo de desarrollo. Entre la protección de nuestros archivos debemos prestar atención a ficheros como wp-config.php o wp-setting.php

Estos ficheros contienen información importante como la configuración de la base de datos. Si quedara expuesto estaríamos vendidos a robo de información de nuestra web, intranet o tienda online.

Para protegerlo podemos incluir la siguiente línea en nuestro htaccess:

<files wp-config.php>
order allow,deny
deny from all
</files>


En digitalDot también recomendamos proteger la escritura de forma que si hackearan el Wordpress no pudieran modificar estos dos. En uno de los ataques que nos enfrentamos en un Wordpress, el atacante incluía una referencia en estos archivos por lo que tomaba el control de todo el Wordpress en el momento de la carga.

Para cambiar estos permisos podemos entrar con nuestro cliente Filezilla y asignar sólo permisos de lectura.

mejorar seguridad wordpress

Ya es prácticamente un estándar, desde que indirectamente el certificado digital influye en nuestro posicionamiento SEO cada vez más las empresas lo solicitan y en nuestros servicios se ha convertido en un punto más de calidad al entregar web corporativas o tiendas online. Esto permite que todos los accesos a la plataforma sean seguros, viajando contraseñas y usuarios cifrados.

Otra de las medidas recomendadas, también basada en seguridad por ofuscación, es usar el prefijo de base de datos distinto, de esta forma nuestro atacante desconocerá la estructura de la base de datos a la que se enfrenta, esta medida solemos realizarla en todos los CMS, LMS y eCommerce con los que trabajamos.

Debemos proteger nuestro usuario y contraseña, evitar el uso de: usuario admin de Wordpress o las contraseñas demasiado sencillas.

Todas estas medidas ayudarán a proteger Wordpress de una manera sencilla y efectiva.

En nuestra búsqueda de plugin que puedan sernos útiles nos hemos encontrado con WordFence, un plugin que en cuanto a recursos puede ser un poco costoso pero que con servidores VPS hemos comprobado que apenas ha habido bajada de rendimiento, y sus funcionalidades en la versión gratuita pueden ser muy útiles.

Entre las ventajas destacamos:

  •           Detección de ataques en tiempo real

  •           Función de detección de cambios o alteraciones de ficheros del núcleo

  •           Log de acceso y modificaciones

  •           Informes periódicos del estado de nuestra web

  •           Notificaciones de email de alertas o fallos detectados

  •           Notificaciones de versiones y plugin nuevos

  •           Seguridad de ofuscación 


Su instalación por defecto deja algunos factores sin activar, os dejamos algunas recomendaciones y modificaciones para cuando instaléis WordFence y tener vuestro WordPress algo más seguro.

proteger wordpress
Esta medida no previene los fallos de seguridad, pero si nos podrá alertar de inicios de sesión en nuestra plataforma con la IP de procedencia.

wordpress seguridad

También marcamos alertas de cambios de ficheros, recordemos que cuando se hackea una web los ataques van con la idea de crear una puerta falsa y aprovechar para usar recursos o datos de nuestro servidor

como proteger wordpress

Llegado a este punto habéis podido comprobar que el número de parámetros y configuraciones de seguridad de este módulo gratuito es bastante amplio.

como tener mas seguridad wordpress

Ocultar nuestra versión de Wordpress por ofuscación puede evitar algún DDOS o Lammers probando ataques a versiones concretas.

seguridad en wordpress

También desactivaremos la ejecución de archivos dentro de la carpeta Upload de forma que si algún plugin tiene un fallo y nos suben un script a esta carpeta no podrá lanzarse.

Sin duda si todo esto fallara debemos tener un plan B y ese plan pasa por tener un plan de copias de seguridad, recordemos que nuestro WordPress precisa de la carpeta de la web y la base de datos, por lo que debemos coordinar con nuestra empresa de hosting o mantenimiento que las copias se estén realizando correctamente.

Si contáis con un VPS de digitalDot contaréis con un panel de copias donde podéis programar las copias completas incluso el historial de versiones que queréis mantener.

Por último queremos dejaros este fantástico video de seguridad para Wordpress con algunas modificaciones que recomienda Chema Alonso y que pronto veremos en el núcleo de esta plataforma.




Si tenéis alguna duda o sospecha de que vuestro WordPress corre peligro no dudéis en poneros en contacto con el servicio informático de digitalDot.