Buscar
Empresas & Marketing

Protege tu WordPress de ataques externos

Hola a todos. Ya estoy aquí otra vez con un post algo más técnico, pero que a los que sois usuarios de WordPress.org creo que os interesará mucho. Hace poco tiempo se descubrió un fallo de seguridad importante en la plataforma WordPress.org. Se armó un buen revuelo ya que, según un...

Protege tu WordPress de ataques externos

Hola a todos. Ya estoy aquí otra vez con un post algo más técnico, pero que a los que sois usuarios de WordPress.org creo que os interesará mucho.

Hace poco tiempo se descubrió un fallo de seguridad importante en la plataforma WordPress.org. Se armó un buen revuelo ya que, según un estudio reciente, el 25% de todas las páginas web del planeta utilizan este software.

Lo bueno de utilizar esta plataforma es que los fallos de seguridad son detectados y solucionados en un espacio de tiempo muy breve y la mayoría de sitios fueron actualizados y protegidos gracias al sistema que tienen las nuevas versiones de WordPress (a partir de la versión 3.7) de auto actualizarse.

Lo mejor que se puede hacer para proteger tu sitio web de ataques y fallos de seguridad es eso, mantenerlo siempre actualizado. Estará más protegido y tendrás siempre las últimas funcionalidades.

Como decía antes, desde la versión 3.7, WordPress tiene la posibilidad de auto actualizarse, haciendo que los fallos sean corregidos de manera rápida y eficaz.

Para indicarle a WordPress qué debe y qué no debe actualizar lo mejor es instalar el plugin Advanced Automatic Updates.

hello-creatividad-seguridad-wordpress-01

Mediante este plugin podremos configurar si queremos que se actualicen los plugins, los temas, versiones menores y de seguridad, y versiones mayores.

hello-creatividad-seguridad-wordpress-02

Lo mínimo recomendado es tener marcadas las opciones de plugins y las versiones menores. Lo ideal es tener todas las opciones marcadas para tener siempre la última versión de todos los componentes de tu instalación, pero no siempre podremos tener todas las opciones marcadas, ya que, dependiendo de si hemos modificado el tema original o si hemos hecho algún cambio en algún plugin, cualquier actualización de estos quitará las modificaciones que hubiéramos hecho.

También es posible que los desarrolladores de plugins o temas, hagan modificaciones sobre cosas que funcionaban en una versión previa y que en una nueva versión dejen de funcionar. Siempre que hagamos una actualización deberemos comprobar que todo funciona correctamente.

Tip

Antes de hacer una actualización de WordPress asegúrate de tener una copia de seguridad tanto de los archivos como de la base de datos. Nunca se sabe que puede pasar y es mejor poder volver a una versión anterior. Lo mejor para olvidarte de las copias de seguridad es VaultPress super completo aunque es un servicio de pago. Si tienes espacio en tu servidor y no te lías configurando plugins puedes instalar el plugin gratuito de copia de seguridad Backup WordPress para realizar las copias.

Una vez tenemos todo actualizado deberíamos instalar el siguiente plugin, para proteger WordPress de ataques por fuerza bruta y poder hacer escaneos aleatorios, para ver si hemos sido infectados y corregir los fallos de seguridad:

Anti-Malware and Brute-Force Security by ELI

Una vez instalado el plugin, que es en realidad como un antivirus/antimalware gratuito para tu web, deberíais bajaros las últimas actualizaciones. Para hacer esto lo primero que hay que hacer es registrar vuestra clave: hay que poner los datos requeridos (Nombre, Apellidos y correo electrónico) y presionar el botón Register Now.

hello-creatividad-seguridad-wordpress-03

Una vez hecho esto el plugin estará registrado y podréis bajaros las últimas actualizaciones con el botón Check for Definition Updates Now!.

Cuando haya terminado de bajarse las actualizaciones podréis hacer un escaneo completo para comprobar que vuestro sitio está libre de Malware. Si tenéis la mala suerte de daros un resultado negativo poneros en contacto con vuestro desarrollador o seguir las instrucciones para quitar el malware.

Una funcionalidad extra que nos proporciona este plugin es la protección de ataques a la página de login de WordPress por fuerza bruta.

Este tipo de ataques lo que hacen es intentar muchas veces entrar a vuestro administrador haciendo intentos de login hasta que consiguen entrar. Estos ataques no suelen tener mucha repercusión si tenéis una buena contraseña y no utilizáis el usuario admin (práctica poco recomendada). Pero lo que si que tienen es repercusión en cuanto a respuesta del sitio, ya que pueden hacer que el servidor se relentice o incluso que no cargue vuestra página.

Para evitar esto, en la parte inferior de la ventana del plugin, podréis activar la protección de ataques por fuerza bruta (Brute-force Protection) presionando el botón Install Patch

hello-creatividad-seguridad-wordpress-05-1024x113

Tip

Activa la protección de Jetpack

Si tienes el plugin Jetpack instalado y lo tienes actualizado, ahora mismo dispones de un nuevo complemento para prevenir ataques por fuerza bruta llamado “Protect”. Para activarlo solo tienes que hacerlo en la configuración de JetPack.

hello-creatividad-seguridad-wordpress-04

Y por último y no menos importante, todo WordPress que se precie debería tener instalado el plugin WordFence. Este plugin, solo con instalarlo, ofrece una muy buena protección frente a ataques por fuerza bruta e incorpora un genial escaner del sitio. Este plugin, si así lo configuráis, os mantiene informados de posibles ataques que se estén realizando a vuestra web, a la vez que bloquea dichos ataques y rellena una lista negra de direcciones desde las que se ha intentado acceder de forma fraudulenta.

La versión de pago de Wordfence ofrece, además de soporte, el login en tres pasos que añade una capa más de seguridad a la entrada al administrador haciendo que tengas que poner un código extra que te llega al teléfono móvil via SMS.

Esperemos que, a partir de ahora, vuestros sitios estén súper limpios y súper actualizados 😀

¿Quieres comentarnos algo sobre este post?

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

2

2 respuestas a “Protege tu WordPress de ataques externos

  1. Pues nada, habrá que ponerse las pilas!! Muchas veces nos preocupamos de la parte de diseño y olvidamos nuestra vulnerabilidad. Gracias por el post!!

  2. Como siempre super interesante, pero si ya tienes otros plugins de seguridad ¿serán compatibles estos que comentas?
    La verdad es que estoy planteándome el cambio de plataforma para evitarme todos estos lios ,ya que en mi caso me lo guiso y como todo sola y de seguridad sé poquito!
    Saludos