Uno de las cosas sobre las cuales debes preocuparte es la seguridad de tu sitio de WordPress.
Tener un sitio de WordPress seguro es una meta que puedes lograr con:
| #1 | Plugins |
| #2 | Servicios de Seguridad |
| #3 | Medidas de Seguridad |
Hackear un sitio de WordPress no es un acto de magia, por lo que protegerlo tampoco lo es.
Yo no soy fan de los plugins de seguridad, por lo que en esta publicación aprenderás a tener un sitio de WordPress seguro sin la ayuda de plugins.
Table of Contents
- Actualizaciones de Software
- Seguridad de WordPress: Menos es Mas
- Plugins y Tema de Dudosa Procedencia
- Contraseñas Robustas para WordPress
- Un Provedor de Hosting Seguro
- Respaldos de tu Sitio
- Reglas de Firewall de CloudFlare
- Resumen de Seguridad
- Preguntas Frecuentes sobre Seguridad de WordPress
- #1 ¿Qué son las vulnerabilidades tipo cero?
- #2 ¿Una contraseña compleja no detiene los ataques de Fuerza Bruta?
- #3 ¿Hay muchas medidas porque solo hay tan pocas en esta publicación?
- #4 ¿Alguien puede saltarse la seguridad de CloudFlare?
- #5 ¿Qué más se puede hacer sin plugins?
- #6 ¿No todos los plugins nulos tienen malware?
- Mas acerca de WordPress
Actualizaciones de Software
Debes asegurarte de mantener los plugins, el tema y la versión de WordPress actualizados.
Si el tema, los plugins y la versión de WordPress se encuentra actualizada y no hay una vulnerabilidad tipo cero en estos, te pueden hackear de otras formas pero no por medio de esos tres focos potenciales de problemas.
Asegurate de que el Software de tu servidor se encuentre actualizado.
Yo no puedo hablar por todos los proveedores de hosting, pero esto es algo que puedes hacer fácilmente desde el panel de Cloudways
Seguridad de WordPress: Menos es Mas
Siempre hablando de temas y plugins, asegúrate que solo tener un tema y los plugins necesarios.
Si tienes un solo tema instalado, el foco potencial de problemas se reduce grandemente.
Si tienes 10 plugins instalados, solo deberás pensar en esos 10 plugins.
Un tema o plugin que no se encuentre en uso y con una vulnerabilidad puede llevar al potencial hackeo del sitio.
Revisa PatchStack para estar al tanto de los temas y plugins que tiene vulnerabilidades.
Plugins y Tema de Dudosa Procedencia
Algo muy común en los grupos de WordPress en Espanol es la venta de plugins nulos o sin licencia.
Tambien hay paginas que regalan plugins nulos.
El problema de los plugins nulos y sin licencia es que no cuentan con actualizaciones, por lo que te llevan al problema número #1 a solucionar en esta publicación.
Y el segundo problema es que algunos de ellos contienen Malware.
Contraseñas Robustas para WordPress
Creo que cuando empezamos nuestra vida en línea cometemos el error de usar contraseñas que podemos recordar o contraseñas que usamos en otros sitios.
La contraseña debe ser lo más compleja y larga posible por lo que usar un gestor de contraseñas es la mejor forma de crear y almacenar contraseñas.
Te recomiendo LastPass, DashLane o BitWarden siempre tomando todas las previsiones posibles.
Si tienes una contraseña compleja, los hackers podrán atacar la página de acceso pero no podrán entrar en años.
Los ataques de fuerza bruta pueden causar el desperdicio de recursos, pero nadie puede vulnerar el sitio si la contraseña es sumamente compleja.
Un Provedor de Hosting Seguro
El proveedor de hosting que usas es otro punto importante en lo que a medidas de seguridad se refiere.
Hay proveedores de hosting muy buenos que se toman la seguridad de un sitio muy en serio.
Yo estoy felizmente casado con Cloudways.
Cloudways es un plataforma que permite manejar provedores de Cloud Hosting, es un plataforma económica y muy segura.
Cloudways permite bloquear el acceso a la base de datos y a la instalación de WordPress por medio de IP desde su panel.
Es decir, aunque yo tenga el usuario y contraseña de tu base de datos y tus credenciales FTP, no podré manipular la base de datos o tu instalación, si no estoy conectado a tu IP
Cloudways también te hace respaldos con los cuales puedes respaldar tus sitios con un click.
Respaldos de tu Sitio
No uses tu propia instalación de WordPress para guardar respaldos, tampoco dejes sitios de prueba (staging sites) en tu instalación.
Los respaldos deben ser guardados en almacenamientos externos y los sitios de staging deben recibir mantenimiento o ser borrados.
Los respaldos y sitios de prueba ser usados para poder vulnerar el sitio de producción
Si sos curioso, activa un registrador de errores 404 y verás como bots andan buscando respaldos y sitios de pruebas en tu sitio.
Nota: Los provedores de hosting de calidad como Cloudways hacen respaldos con mucha frecuencia, sin embargo debes crear tus propios respaldos y almacenarlos en un lugar seguro.
Reglas de Firewall de CloudFlare
Yo uso reglas de CloudFlare personalizadas para proteger mis sitios.
Hay una regla muy sencilla para reducir los ataques de fuerza bruta a cero.
Las Reglas de CloudFlare te pueden ayudar a detener las vulnerabilidades tipo cero si las configuras apropiadamente.
Resumen de Seguridad
Si tu sitio cumple con lo siguiente, ya te ahorraste una gran cantidad de problemas.
| Medida | ¿Bajo tu Control? |
| Tu hosting es de calidad. | Si |
| Tus plugins estan actualizados. | Si |
| Tu tema esta actualizado. | Si |
| Tienes la última versión de WordPress. | Si |
| No tienes un plugin o un tema lleno de Malware | Si |
| Tienes una buena contraseña | Si |
| Vulnerabilidad Tipo Cero | No |
| Tus respaldos estan seguros | Si |
| Reglas de Cortafuegos de CloudFlare | Si |
Preguntas Frecuentes sobre Seguridad de WordPress
Estas son algunas preguntas sobre lo mencionado anteriormente:
#1 ¿Qué son las vulnerabilidades tipo cero?
Las vulnerabilidades tipo cero son aquellas que los hackers conocen y que no han sido descubiertas por los desarrolladores de WordPress, plugins y temas.
Sigue el boletín de WordFence o PatchStack para estar al tanto de nuevas vulnerabilidades
#2 ¿Una contraseña compleja no detiene los ataques de Fuerza Bruta?
La contraseña compleja no detiene el ataque, los ataques de fuerza bruta prueban miles de combinaciones de usuarios y contraseñas.
Esos intentos puedes agotar los recursos de tu servidores aunque no tengan éxito en descifrar los credenciales.
CloudFlare te puede ayudar a salvaguardar los recursos con regla de Firewall para proteger archivos PHP
#3 ¿Hay muchas medidas porque solo hay tan pocas en esta publicación?
Las personas tienden a pensar que el hackeo de sus sitios lo realizó un personaje de la serie de Mr Robot, pero esa no es la realidad.
La mayoría de hackeos o intentos de hackeos son automatizados.
En ocasiones, los hackers sólo necesitan que seas lo suficiente ingenuo para usar una contraseña debil como Qwerty123 o tener un plugin o tema nulo que le manda los datos de tu web al Hacker.
Lo otro es que hay mucho consejo redundante, yo puedo agregar un captcha a la página de inicio de sesión, limitar el número de intentos, bloquear por IP, cambiar la dirección de login pero con CloudFlare, puedes bloquear la pagina de acceso para todos los usuario y crear una excepcion para la IP de tu hogar u oficina.
#4 ¿Alguien puede saltarse la seguridad de CloudFlare?
Alguien con muchos conocimientos y que desee verdaderamente hackear tu sitio puede saltarse la seguridad de CloudFlare.
Lo mismo se puede decir sobre Sucuri, WordFence y otros plugins o redes de contenido global.
Si el hacker tiene voluntad, lo intentará de muchas formas. Si tu sitio no tiene que nada que un hacker quiera, el no seguirá agotando recursos en ti.
#5 ¿Qué más se puede hacer sin plugins?
Puedes implementar algunas otras en el archivo wp-config.php
Hay muchas otras cosas que puedes realizar pero mi punto es este, si eres un tonto en temas de seguridad, no habrá plugin, CDN o reglas en el .htaccess que te prevenga de abrirle la puertas de tu sitio a los hackers.
#6 ¿No todos los plugins nulos tienen malware?
El hecho que un plugin sea nulo no significa que tenga malware, pero como saberlo es el dilema.
Si no tienes la más mínima idea de como limpiar un sitio, no te arriesgues, te puede salir caro.
Usa plugins gratuitos o compra los plugins y temas directamente del desarrollador.
Mas acerca de WordPress
Estas son algunas publicaciones sobre tips para manejar y optimizar tu sitio de WordPress
- Precargar Enlaces en WordPress: ¿Debería Hacerlo?
- Full Page Caching de CloudFlare: ¿Indispensable?
- Optimizar el CSS de la Librería de Bloques de Gutenberg
- Reseña Honesta sobre PerfMatters
- Reglas de Firewall de CloudFlare
- Reseña sobre CloudFlare APO: ¿Debería Usarlo?
- 9 Errores Comunes de Seguridad en WordPress
