Asegurar tu WordPress es algo realmente sencillo gracias al trabajo que hace continuamente el equipo de WordPress corrigiendo vulnerabilidades y mejorando la seguridad de la plataforma.
Y con el agregado del plugin Wordfence Security (que ya recomendé más de una vez) es posible tener un sitio bien seguro y dormir tranquilo cada noche sabiendo que tu inversión está bien protegida.
Pero según veo con mis clientes y gente que me consulta, la mayoría de los administradores de WordPress no tiene bien claro qué cosas deben hacer para que su página sea realmente segura. Y en este sentido, hace unos días, el equipo de Wordfence publicó una guía de 8 pasos para asegurar completamente un sitio WordPress que me pareció muy acertada.
Así que vamos a ver cada uno de estos puntos para que también puedas tener tu página asegurada en solo 20 minutos.
Asegúrate de realizar copias de seguridad de tu web
Hacer backups es el primer paso para tener un sitio web seguro. Ya conté hace un tiempo cómo tener un backup listo para restaurar con un par de clics me salvó de horas de trabajo luego de la actualización fallida de un plugin.
No necesitas haberte metido a explorar las entrañas de WordPress ni haber instalado un plugin de dudosa procedencia para generar un fallo difícil de resolver. Yo solo actualicé un plugin muy reconocido que venía utilizando desde hace mucho para que todo comenzara a fallar.
Para tener un backup siempre a mano lo ideal es que lo automatices con un plugin, yo te recomiendo UpdraftPlus. Así podrás controlar cada cuánto se efectúan y no olvidarte de hacerlo, además de elegir dónde almacenarlos (en lo posible fuera de tu cuenta de hosting), puedes usar Dropbox por ejemplo.
Y podrás restaurarlo inmediatamente cuando lo necesites sin depender de nadie.
Borra cualquier instalación antigua de WordPress y cualquier otro software antiguo
Ingresa a tu cuenta de hosting mediante el Administrador de Archivos o vía FTP para poder navegar por las distintas carpetas que tengas allí y busca cualquier instalación en desuso de WordPress.
Puede tratarse de una instalación accidental en la carpeta predeterminada de Softaculous (/wp) que olvidaste borrar. También podrías buscar alguna carpeta con un backup antiguo u otro sitio que hayas instalado para hacer pruebas en algún sub-dominio o carpeta.
Recuerda que puedes detectar una instalación de WordPress viendo que estén las tres carpetas principales: /wp-admin, /wp-content y /wp-includes, además casi todos los archivos comienzan con wp-, por ejemplo wp-config.php.
Estas instalaciones en desuso y desactualizadas podrían ser detectadas por algún hacker que aprovecharía las vulnerabilidades del software desactualizado para obtener acceso a tu sitio web. Así que es importante que borres completamente estas carpetas.
Si tienes dudas de que pudieran ser útiles consulta con tu desarrollador o tu proveedor de hosting.
Luego deberías hacer lo mismo con cualquier otro software en desuso que pudieras tener instalado y no esté siendo mantenido como ser aplicaciones PHP, Joomla, Drupal, etc.
Borra todas la plantillas y plugins que no necesites o que no se actualicen desde hace tiempo
Ingresa al panel de administración de WordPress y dirígete a la opción Plugins -> Plugins instalados. Desactiva y borra todos los plugins que no utilices. Revisa uno por uno los plugins instalados y asegúrate de cuáles estás utilizando y cuáles ya no usas. Es muy común que nos queden instalados plugins que alguna vez nos hicieron falta pero que ya hace tiempo que no necesitamos.
También puedes hacer clic en la opción Ver detalles de cada plugin para consultar cuándo fue su última actualización.
Es altamente recomendable que borres cualquier plugin que no se haya actualizado en los últimos 2 años ya que es poco probable que su autor lo esté manteniendo, y si surgiera alguna vulnerabilidad ésta no sería corregida rápidamente.
Haz lo mismo con las plantillas. Ingresa a Apariencia -> Temas y borra todas las plantillas que no estés utilizando. Para ésto haz clic sobre cada tema donde dice Detalles del tema y en la ventana que se abre busca la opción Borrar en la esquina inferior derecha.
Si utilizaras también otras aplicaciones como Joomla y Drupal loguéate en cada una y borra todas las extensiones que no utilices o que no están siendo mantenidas.
Borrar viejas extensiones, plugins y plantillas elimina potenciales puntos de acceso para un hacker.
Asegura tus cuentas de administrador de WordPress y del CPanel
Asegura cada cuenta de administrador en tu sitio web. Ingresa a WordPress y ve a Usuarios -> Todos los usuarios, luego haz clic en Administrador para ver todos los usuarios con permisos de administrador en tu WordPress.
Asegúrate de que reconoces todas las cuentas de administrador y si no reconoces alguna trata de averiguar a quién pertenece. En ocasiones es necesario crear cuentas con permisos de administrador para darle acceso a algún desarrollador o algún técnico.
Borra todas las cuentas de administrador que ya no sean necesarias.
Si no estás seguro de que las contraseñas de las cuentas de administrador sean seguras cámbialas por una aleatoria y avísale del cambio a los demás propietarios. WordPress cuenta con una opción de generación automática de contraseñas que es muy segura.
Puedes usar algún software administrador de contraseñas para almacenar las contraseñas generadas.
También es recomendable que tu usuario no sea admin, el predeterminado de WordPress, sino cualquier otro. Si tu usuario es admin lo que puedes hacer es crearte uno nuevo desde Usuarios -> Añadir nuevo, y luego borra el usuario admin asignando todo su contenido a tu nuevo usuario.
Después accede al CPanel de tu cuenta de hosting y asegúrate de estar utilizando una contraseña segura aquí también. Preferentemente de 20 caracteres o más, incluyendo mayúsculas, minúsculas y números. Igual que antes, puedes utilizar un administrador de contraseñas para almacenar contraseñas aleatorias que son mucho más seguras.
Actualiza absolutamente todo el software instalado en tu cuenta de hosting
Necesitas tener todo al día. Bajo ninguna circunstancia permitas que tu sitio web funcione con algún software des-actualizado. Haz lo siguiente:
- Actualiza tu instalación de WordPress (todas las que tengas).
- Actualiza todos los plugins.
- Actualiza todas la plantillas.
- Actualiza cualquier Joomla, Drupal, MediaWiki, PHPMyAdmin u otra aplicación que tengas instalada.
- Actualiza todas las extensiones en aplicaciones como Joomla o Drupal que tengas instaladas.
2 Consejos antes de actualizar
- Antes de actualizar a una nueva versión de WordPress o de cualquier plugin o plantilla es altamente recomendable que te asegures de tener a mano un backup para poder volver todo al estado anterior si la actualización produce algún fallo.
- No actualices nada inmediatamente salga la nueva versión. Te recomiendo esperar 48 horas ya que en ese período de tiempo se suelen detectar y corregir los principales fallos que pudiera tener la nueva versión. Luego de las 48 o 72 horas sí puedes actualizar tranquilo.
Sobre las plantillas a medida para WordPress
Si tu sitio funciona con una plantilla propia, hecha a medida para ti por un desarrollador, necesitarás también un desarrollador que la mantenga actualizada. Esta es la triste realidad y el costo de tener instalado un tema a medida. No puedes simplemente instalarlo y olvidarte.
Algunas plantillas utilizan librerías en las que eventualmente se descubren vulnerabilidades. Si tu plantilla no está siendo mantenida por nadie tu sitio podría ser hackeado a través de este software vulnerable.
Por eso cuando estés por contratar los servicios de una empresa o desarrollador que diseña plantillas a medida para WordPress debes preguntar si van a hacer mantenimiento del software que instalan en tu WordPress.
Activa el firewall de Wordfence Security
Como ya te recomendé hace tiempo, instala el plugin Wordfence Security, es gratuito y lo puedes descargar desde el repositorio de WordPress desde tu panel de administración, sin registrarte ni nada.
Luego dirígete a la opción Wordfence -> Firewall y activa el firewall de Wordfence con Extended protection. Aquí tienes un video tutorial sobre cómo configurar y activar Wordfence.
Con solo hacer ésto conseguirás lo siguiente:
- El firewall de Wordfence inspeccionará cada solicitud antes de que ésta ejecute cualquier código PHP, incluso dentro del propio WordPress. Esto permitirá a Wordfence interceptar y detener cualquier vulnerabilidad, antes incluso de que ésta alcance tus aplicaciones PHP.
- Wordfence protegerá incluso cualquier otra aplicación PHP que esté instalada en el directorio de WordPress. Esto ocurre automáticamente y es un beneficio adicional de Wordfence que muy poca gente conoce.
Y si además puedes actualizar a la versión premium de Wordfence te aseguras de recibir la lista negra de IPs, reglas de firewall y firmas de malware en tiempo real, cuando algún nuevo ataque surge.
Efectúa un análisis completo con Wordfence Scan
Ahora ve a Wordfence -> Scan y ejecuta un análisis completo. Éste realizará un largo número de verificaciones de seguridad en tu sitio web para dejarte tranquilo de que estás libre de cualquier infección.
Cualquier problema que encuentre será mostrado y deberá ser resuelto.
También puedes visitar Wordfence -> Options y activar la opción Scan files outside your WordPress installation. Con ésto lograrás que Wordfence escanee también cualquier archivo que se encuentre fuera del directorio de WordPress, incluso aplicaciones web que no forman parte de WordPress.
Es una excelente forma de llegar con el análisis a todos los archivos que haya en tu cuenta de hosting.
Con ésto ya tienes más que suficiente. Ahora tu sitio es más seguro que la mayoría de sitios WordPress. Aunque si quieres ir un poco más lejos puedes hacer además lo siguiente.
Habilita la autenticación de 2 factores
Si quieres llegar aún más lejos con la protección de tu sitio web actualiza a la versión premium Wordfence y podrás activar la autenticación de 2 factores. De esta forma para loguearte en WordPress recibirás un SMS en tu teléfono celular.
Habilitar esta característica aumenta enormemente la seguridad de tus cuentas de administrador ya que, para que alguien pueda loguearse como administrador en tu WordPress deberá conocer tu contraseña y además robarte el celular.
¡Ahora compártelo!
Completar estos sencillos pasos te proporcionará un sitio web mucho más seguro que la mayoría de las instalaciones de WordPress que hay en la web hoy en día. Comparte este post con la comunidad para ayudar a otros administradores de WordPress a hacer también su sitio web más seguro.
¡Listo, eso es todo! Sírvete una cerveza bien fría y disfrútala en tu sillón preferido. Puedes relajarte ya que tu sitio web está bien seguro ahora.
0 comentarios