WordPress

Seguridad básica para WordPress

logotipo wordpress candado

Cuando empiezas en esto de poner en marcha y diseñar sitios web todo te parece estupendamente funcional, práctico e irrompible. Pero a medida que vas ganando experiencia en el sector te das cuenta que no es oro todo lo que reluce:

  • Las cosas no siempre funcionan como tú quieres
  • Las webs o partes de ella se rompen
  • Una actualización puede empeorar ese problema que ya tienes

WordPress hace funcionar el 60% de las webs que utilizan un CMS como motor principal. WordPress es una herramienta poderosa, de eso no hay ninguna duda.

No obstante esa gran implantación de WordPress dentro del mundo digital (y por el mero hecho de que la gran mayoría de webs del mundo funcionen con él) hace también que sea una herramienta la cual los hackers atacan de forma frecuente.

Aunque no existen sistemas informáticos, webs o cualquier sistema que sea infalible (sino que se lo digan a los bancos y grandes empresas), en realidad WordPress es bastante seguro si seguimos varias normas que le ayuden a mantener los ataques bajo control.


Razones por las que alguien querría atacar nuestra web

logo hacker

Existen varias razones por las que alguien querría obtener acceso al escritorio de trabajo o al servidor sobre el que trabaja una web, pero principalmente los ataques se producen por tres causas:

Para obtener dinero

Por ejemplo cambiando las direcciones de ingreso o las API’s que utilizamos para monetizar nuestra web.

Puede ser que nos demos cuenta que algo no está bien cuando, al cabo de varios días sin recibir ingresos, comprobemos que nos han cambiado la API, el usuario o la cuenta cuenta corriente de ingreso de nuestro sistema de monetización.

Si eres un e-commerce que vende online y por una brecha de seguridad tus clientes ven robados por ejemplo sus números de tarjetas de crédito, perderás credibilidad y la confianza de los usuarios en tu sitio. Si la fuga de datos es grande y/o muy sensible puede ser que incluso tengas problemas legales.

Para obtener datos

Los datos de registro de usuarios en el caso por ejemplo, de webs que monetizan sus newsletters y necesitan que el usuario se registre para enviarlas (nombres, datos personales, idioma, dirección de correo electrónico…) son un bocado muy jugoso en forma de base de datos por el que vale la pena el esfuerzo.

Para eliminar competencia

Google penaliza las webs que no funcionan correctamente o que violan las directrices de contenido y calidad que la empresa marca.

Se puede jugar sucio contra un competidor obteniendo de forma fraudulenta el acceso a la web de ese competidor para maltratarle el sitio añadiendo enlaces de spam, creando páginas de baja calidad o borrándole URL’s de forma masiva que acabarán inundando el sitio con errores 404’s con la estrategia de hacer creer a Google que se trata de un sitio basura.

Si no se arregla el desastre a tiempo Google penalizará la web, la web bajará en las SERPS, perderá visibilidad y la empresa atacante tendrá un competidor menos.


Proteger tu WordPress de ataques

Aunque WordPress lo pone todo de su parte para que no nos manden nuestra web al cementerio, también podemos poner de la nuestra para dificultar las cosas a quién quiera hacer eso.

Si quieres evitar disgustos y sobresaltos por ver tu WordPress pirateado ponte manos a la obra con los siguientes trabajos que menciono a continuación.

Elige una buena contraseña

Una contraseña no es segura por ser más larga o tener más o menos carácteres, sino por una combinación de ambas cosas.

cómo elegir una contraseña de wordpress segura

Dada la capacidad de procesamiento de datos de los ordenadores hoy en día (unos 8.000 millones de cálculos por segundo) una contraseña sólo se puede considerar segura a ataques de fuerza bruta si tiene más 20 caracteres e incluye minúsculas, mayúsculas, números, símbolos especiales y todo ello se combina de forma aleatoria.

En este artículo te explico cómo diseñar contraseñas fuertes y seguras y cómo administrar un número elevado de contraseñas imposibles de memorizar sin volverse loco ni tener que andar escribiéndolas en una hoja de excel.

Exacto: ¿Perder tiempo en generar buenos passwords para luego pegarlos en una hoja de excel? No parece demasiado buena idea.


Mantén la web actualizada

Las actualizaciones no son meros caprichos diseñados para añadir más funcionalidades a un theme o un plugin. También reparan agujeros de seguridad que pueden comprometer la estabilidad de un sitio web.

Tener nuestro WordPress, theme y plugins desactualizados significa ganar números para tener un sitio inestable y más propenso a ataques.


Cambia la dirección de acceso a tu WordPress

La dirección de acceso por defecto de todos los WordPress del mundo mundial es nombredelaweb.com/wp-admin o /wp-login. Así que si sabes que una web es un WordPress puedes comprobar si los administradores han cambiado esa dirección de acceso añadiendo /wp-admin o /wp-login a la URL inicial*.

*Puedes comprobar si una web trabaja con WordPress en menos de un minuto analizando su código fuente o pasando la URL por una herramienta tipo WhatCMS) 

Por cierto: como puedes ver la dirección de acceso a mi web no es speckledpenguin.com/wp-admin sino otra

😉

Cambiando la dirección de acceso por defecto de nuestro WordPress evitamos de forma directa los conocidos como ataques de fuerza bruta (probar contraseñas de forma aleatoria), como veremos en el apartado siguiente.

Para cambiar la dirección de acceso de WordPress de forma rápida y simple yo utilizo un plugin muy ligero y efectivo: WPS Hide Login.

Para cambiar la dirección de acceso por defecto mediante WPS Hide Login simplemente introduce qué URL quieres utilizar como dirección de acceso y dile al plugin qué quieres que ocurra cuando alguien quiere acceder a la dirección de acceso por defecto.

Introduce la nueva dirección de acceso, qué quieres que ocurra cuando alguien quiere entrar en la dirección por defecto y dale a Guardar Cambios. Rápido pero efectivo.

Si te olvidas de la dirección de acceso que programaste deberás desactivar el plugin a través de los archivos del servidor y la dirección de acceso será de nuevo la predeterminada de WordPress


Evita los ataques de fuerza bruta

Los ataques de fuerza bruta son los que se realizan mediante el método de prueba y error: probando contraseñas de forma aleatoria hasta que una de ellas es la correcta. Si la contraseña es débil estamos ganando puntos para que los atacantes acaben consiguiendo acceso a nuestra web.

Si además no hemos cambiado la dirección de acceso por defecto de nuestro WordPress, como explicamos en el apartado anterior, los atacantes sólo deben apuntar sus robots a la página de acceso de nuestro WordPress y programarlos para que vayan probando contraseñas de forma aleatoria e ininterrumpida.

Pero hay formas de evitar que alguien puede estar probando contraseñas sin pausa: los sistemas anti brute force

Plugins para evitar los ataques de fuerza bruta

Existen plugins ligeros y efectivos que bloquean una dirección ip cuando esta excede el número de intentos de acceso que hayamos especificado.

Loginizer Brute Force
WPS Limit Login

Yo utilizo bien Loginizer o bien WPS Limit Login (mismos desarrolladores que WPS Hide Login).

Instala uno de estos sistemas, prográmalo correctamente y listo.

Ataques de fuerza bruta realizados por robots automatizados y que han sido registrados por el Plugin Loginizer (la web atacada no es SpeckledPenguin.com).

Como ves en la imagen anterior de media se produce uno o dos intentos de acceso usando una contraseña aleatoria cada 10 minutos aproximadamente (y he visto webs con registros mucho peores que esta). Los robots atacan las URL’s de acceso por defecto de WordPress (y además saben cuál es el usuario administrador, fácil de obtener a través del id de autor), lo que significa que si la cambiamos evitaremos estos ataques.

Por mi experiencia todos los WordPress con los que he trabajado (TODOS) se ven atacados por sistemas de brute force. Dicho de otro modo: siempre que he puesto un sistema de registro de ataques de fuerza bruta he acabado obteniendo datos al momento.

Así que en efecto: tu WordPress seguro que también está sufriendo con un sistema automatizado que está probando passwords en este preciso momento.


Implanta un sistema de autenticación en dos pasos

Si quieres ir a algo mas pro y tener un WordPress a prueba de bombas puedes combinar todo lo anterior con una sistema de autenticación de doble factor o Two Factor Authentication (2FA).

Un sistema de 2FA es lo mismo que hace el banco para confirmar una transferencia: te pide el número de la tarjeta de coordenadas y además te solicita el código que te acaba de enviar por SMS.

El resumen de lo que NO debes hacer

Para poner todo en su sitio y a modo de resumen, los ingredientes para una web insegura son los siguientes:

Usar una contraseña de risa, o peor aún usar la misma contraseña de risa para todo

No tener nuestro WordPress, themes y plugins correctamente actualizados a la última versión

No cambiar la dirección de acceso por defecto de WordPress

No disponer de un sistema de rechazo de ataques de fuerza bruta


Arreglar un desastre

Si nos han pirateado la web y nos damos cuenta pronto debemos deshacer todos los cambios que los atacantes hayan realizado en los sistemas. Sin embargo eso puede resultar un trabajo arduo y muchas veces imposible. Por eso es extremadamente importante trabajar con proveedores de hosting competentes que nos puedan echar una mano cuando las cosas se ponen feas.

Yo trabajo principalmente con Loading.es, por la mera razón de ofrecer un sistema de atención al cliente eficaz y muy rápido, un entorno de gestión del servidor amable con el usuario y una política de copias de seguridad de mucha calidad.

Loading.es ofrece instalación de WordPress en dos clics, SSL gratis y hosting veloz SSD desde 47€ más IVA al año. Clic en el banner para más información

Las copias de seguridad

Disponer de copias de seguridad diarias es clave para poder deshacer un desastre en forma de virus, malware o pirateo de nuestra web. Si sabemos en qué fecha fue pirateada la web nos bastará con restaurar una copia de seguridad de los archivos y las bases de datos a una fecha anterior al ataque.

Sin embargo si no hacemos nada más la web seguramente será atacada del mismo modo otra vez: deberemos trabajar para implantar las medidas de seguridad necesarias para evitar que la web sea atacada de nuevo

Copias de seguridad disponibles para restaurar en los servidores de Loading.es: se realiza una copia cada hora durante los primeros tres días y dispones de copias de seguridad con una antigüedad de hasta 2 meses.