Haz de tu blog un lugar seguro: 20 trucos simples para proteger tu blog basado en WP

Existe una cierta tendencia a criticar la seguridad de WordPress.

La afirmación que por tratarse de un script de código abierto es más vulnerable, no sólo no es cierta, sinó que, muchas veces, es todo lo contrario.

En cualquier caso, si tu sitio es pirateado, no debemos darle la culpa a WordPress.

¿Por qué?

Porque generalmente tu blog será pirateado por tu culpa.

Como propietario de tu blog, eres responsable de que esta se encuentre siempre “a salvo”.

En este artículo, vamos a mostrarte algunos trucos para ayudarte a proteger tu blog de los piratas de internet.

 

Parte A: Asegura la página de inicio de sesión y evita los ataques de fuerza bruta

Todos los piratas conocen la URL estándar de la página de inicio de sesión de WordPress.

Es la página de acceso al backend del blog, y es el principal objetivo de esos “bad boys” de internet.

Con añadir /wp-login.php o /wp-admin/ después del nombre de tu dominio, les es suficiente.

Lo que te recomendamos es personalizar esa URL de la página de inicio de sesión e incluso la forma de interacción de la página.

Esto es lo primero que debes hacer para proteger tu blog.

Estas son algunas sugerencias para proteger tu página de inicio de sesión.

 

1. Configurar el bloqueo del blog y de los usuarios

Una función de bloqueo para intentos fallidos de inicio de sesión, puede resolver el problema, es decir, evitar intentos continuos de ataques por fuerza bruta.

Siempre que haya un intento de pirateo con contraseñas incorrectas repetitivas, el sitio se bloqueará y recibirás una notificación de esta actividad no autorizada.

Descubrí que el plugin iThemes Security es uno de los mejores plugins de este tipo, y lo he usado durante bastante tiempo.

El plugin tiene mucho que ofrecer al respecto.

Puede especificar una cierta cantidad de intentos fallidos de inicio de sesión después de los cuales el complemento prohíbe la dirección IP del atacante.

Así de sencillo.

 

2. Utiliza la autenticación de 2 factores

Introducir la autenticación de 2 factores (2FA) en la página de inicio de sesión es otra buena medida de seguridad.

En este caso, el usuario proporciona detalles de inicio de sesión para dos componentes diferentes.

Tu decides cuáles son esos dos factores.

Puede ser una contraseña regular seguida de una pregunta secreta, un código secreto, un conjunto de caracteres, etc.

Nosotros preferimos usar un código secreto al implementar 2FA en cualquiera de los blog.

El pluggin de Google Authenticator nos ayuda a conseguirlo con solo unos pocos clics.

 

3. Utiliza el correo electrónico como inicio de sesión

De forma predeterminada, debes ingresar tu nombre de usuario para iniciar sesión.

Usar un ID de correo electrónico en lugar de un nombre de usuario es un enfoque más seguro.

Las razones son bastante obvias.

Los nombres de usuario son fáciles de predecir (admin, por ejemplo), mientras que los ID de correo electrónico no.

Además, cualquier cuenta de usuario de WordPress siempre se crea con una dirección de correo electrónico única, por lo que es un identificador válido para iniciar sesión.

Para probarlo, cierra la sesión en tu blog y luego vuelve a iniciarla, pero esta vez usa la dirección de correo electrónico con la que creaste la cuenta.

 

4. Cambia el nombre de tu URL de inicio de sesión

Cambiar la URL de inicio de sesión es algo fácil de hacer.

De forma predeterminada, se puede acceder fácilmente a la página de inicio de sesión de WordPress a través de la URL principal del sitio añadiendo wp-login.php o  wp-admin.

Cuando los hackers conocen la URL directa de la página de inicio de sesión, pueden tratar de usar la fuerza bruta para tratar de conectarse con tu Base de Datos, usando nombres de usuario y contraseñas al azar; por ejemplo, nombre de usuario:. admin, contraseña: p@ssword … haciendo millones de combinaciones.

Por lo tanto, llegados a este punto, si has seguido nuestras indicaciones, ya habrás restringido los intentos de inicio de sesión del usuario, y habrás intercambiado el nombre de usuario por la ID de correo electrónico.

Ahora vamos a reemplazar la URL de inicio de sesión y deshacernos del 99% de los ataques directos de fuerza bruta.

Este pequeño truco restringe el acceso de una persona no autorizada a la página de inicio de sesión.

Solo alguien con la URL exacta podrá hacerlo.

Una vez más, el complemento iThemes Security puede ayudarte a cambiar tus URL de inicio de sesión. Así:

Cambiar wp-login.php por; p.ej my_new_login
Cambiar /wp-admin/ por; p.ej my_new_admin
Cambiar /wp-login.php?action=register por; p.ej my_new_registeration

 

5. Ajusta tus contraseñas

Protege las contraseñas del blog y cámbialas regularmente.

Mejora la seguridad de estas agregando letras mayúsculas y minúsculas, números y caracteres especiales.

Este generador de contraseñas es un recurso útil.

 

Parte B: Asegura tu tablero de administración

Para un pirata informático, la parte más atractiva de un blog es el panel de administración, que es, de hecho, la sección más protegida de todas.

Por lo tanto, atacar a la parte más fuerte es el verdadero desafío del pirata y, si lo  logra, le da al hacker una victoria moral y el acceso a poder hacer mucho daño.

Esto es lo que puedes hacer para evitarlo.

 

6. Protege el directorio wp-admin

El  directorio wp-admin es el corazón de tu blog de WordPress.

Por lo tanto, si se vulnera esta parte de tu sitio, todo tu blog puede dañarse.

Una forma posible de evitarlo es proteger con contraseña el directorio wp-admin.

Con esta medida de seguridad, podrás acceder al tablero de administración enviando dos contraseñas.

Una protegerá la página de inicio de sesión y la otra el área de administración de WordPress.

Si necesitas que los usuarios de tu blog tengan acceso a algunas partes particulares de wp-admin , puedes desbloquear esas partes mientras bloqueas el resto.

Puedes usar el complemento AskApache Password Protect para proteger el área de administración.

Genera automáticamente un archivo .htpasswd , cifra la contraseña y configura los permisos correctos de seguridad del archivo.

7. Usa SSL para encriptar datos

La implementación de un certificado SSL (Secure Socket Layer) es una medida eficaz para proteger el panel de administración.

SSL garantiza la transferencia de datos segura entre los navegadores de los usuarios y el servidor, lo que dificulta a los piratas informáticos el incumplimiento de la conexión o la suplantación de su información.

Obtener un certificado SSL para tu blog de WordPress no es un problema.

Puedes comprar uno en algunas empresas dedicadas o, alternativamente, solicitarle a tu empresa de alojamiento que lo conecte con uno (a menudo es una opción con sus paquetes de alojamiento).

Nosotros usamos el certificado SSL de código abierto gratuito Let’s Encrypt en la mayoría de los blogs.

Cualquier buena compañía de hosting como SiteGround ofrece Let’s Encrypt gratis con sus paquetes de hosting.

El certificado SSL también afecta las clasificaciones de tu blog en Google.

Google clasifica mejor a los sitios con SSL que aquellos sin él.

Eso significa más tráfico hacia tu blog.

¿Te interesa?

8. Agrega cuentas de usuario con cuidado

Si tienes un blog de WordPress, o más bien un blog con varios autores, entonces debes tratar con varias personas que acceden a tu panel de administración.

Este hecho podría hacer que tu blog sea más vulnerable a las amenazas de seguridad.

Puede usar un complemento como Force Strong Passwords para tus usuarios si quieres asegurarte de que las contraseñas que utilizan sean seguras.

Esta es solo una medida de precaución.

 

9. Cambiar el nombre de usuario del administrador

Durante la instalación de WordPress, nunca debes elegir “admin” como nombre de usuario para tu cuenta de administrador principal.

Un nombre de usuario tan fácil de adivinar es accesible para los piratas informáticos.

Todo lo que necesitan saber es la contraseña, y todo tu sitio se encontrará en las manos equivocadas.

No puedo decirte cuántas veces hemos encontrado intentos de inicio de sesión en nuestros blogs con el nombre de usuario “admin”.

El complemento de iThemes Security puede detener dichos intentos al prohibir inmediatamente cualquier dirección IP que intente iniciar sesión con ese nombre de usuario.

 

10. Controla tus archivos

Si deseas más seguridad adicional, puedes supervisar los cambios en los archivos del blog a través de complementos como Wordfence o, una vez más, iThemes Security.

 

Parte C: Asegura la base de datos

Todos los datos e información de tu blog se almacenan en la base de datos.

Cuidarla es crucial.

Aquí hay algunas medidas que puedes implementar para que esté más segura:

 

11. Cambia el prefijo de la tabla de la base de datos de WordPress

Si alguna vez ha instalado WordPress, estás familiarizado con el prefijo wp- que utiliza la base de datos de WordPress.

Te recomendamos que lo cambies a algo único.

El uso del prefijo predeterminado hace que la base de datos de tu sitio sea propensa a ataques de inyección SQL.

Un ataque se puede evitar cambiando wp- a algún otro término, por ejemplo, se puede hacer mywp-, wpnew-etc…

Si ya has instalado tu blog WordPress con el prefijo predeterminado, puedes usar algunos pluggins para cambiarlo.

Los pluggins como WP-DBManager o iThemes Security pueden ayudarte a hacer el trabajo con solo un clic de un botón. (Asegúrate de realizar una copia de seguridad de tu sitio antes de hacer nada en la base de datos).

 

12. Haz una copia de seguridad de tu sitio regularmente

No importa cuán seguro sea tu blog, siempre hay espacio para mejoras.

Pero al final del día, hacer una copia de seguridad fuera del sitio es quizás el mejor antídoto.

Si tienes una copia de seguridad, siempre podrás restaurar tu blog de WordPress a un estado de trabajo anterior.

Existen algunos pluggins que pueden ayudarte a este respecto.

Si estás buscando una solución premium, te recomiendo VaultPress de Automattic, que es genial.

Nosotros lo tenemos configurado para que cree copias de seguridad cada 30 minutos.

Y si algo malo sucede alguna vez, podemos restaurar el sitio fácilmente con solo un clic.

Además de eso, también revisará tu sitio en busca de malware y te alertará si algo está pasando.

 

13. Establece contraseñas seguras para tu base de datos

Es imprescindible una contraseña segura para acceder a la base de datos.

Como siempre, usa mayúsculas, minúsculas, números y caracteres especiales para la contraseña.

Una vez más, te recomendamos un generador de contraseñas como un recurso útil.

 

Parte D: Asegura la configuración de tu alojamiento

Casi todas las empresas de hosting afirman proporcionar un entorno optimizado para WordPress, pero aún podemos mejorar nuestra seguridad:

 

14. Protege el archivo wp-config.php

El archivo wp-config.php contiene información crucial sobre tu instalación de WordPress, y de hecho es el archivo más importante en el directorio raíz de tu sitio.

Protegerlo significa proteger el núcleo de tu blog de WordPress.

A los hackers les resultará difícil vulnerar la seguridad de tu sitio si el archivo wp-config.php deja de ser accesible para ellos.

La buena noticia es que hacer que esto suceda es realmente fácil.

Simplemente coje tu  archivo wp-config.php y muévelo a un nivel más alto que su directorio raíz.

Ahora la pregunta es, si se almacena en otro lugar, ¿cómo accede el servidor?

En la arquitectura actual de WordPress, la configuración del archivo de configuración se establece en la zona más alta en la lista de prioridades.

Pero incluso si se almacena un lugar por encima del directorio raíz, WordPress todavía podrá verlo.

 

15. No permitas la edición de archivos

Si un usuario tiene acceso de administrador a tu tablero de WordPress, entonces podrá editar cualquier archivo que sea parte de tu instalación de WordPress.

Esto incluye todos los complementos y temas.

Sin embargo, si no permites la edición de archivos, incluso si un hacker obtiene acceso de administrador a tu tablero de WordPress, no podrá modificar ningún archivo.

Para hacerlo, agrega lo siguiente al archivo wp-config.php (al final):

define (‘DISALLOW_FILE_EDIT’, true);

 

16. Conecta el servidor correctamente

Al configurar tu blog, conecta el servidor solo a través de SFTP o SSH.

SFTP siempre se prefiere sobre el FTP tradicional debido a sus características de seguridad que, por supuesto, no se atribuyen con FTP.

Conectar el servidor de esta manera te garantiza transferencias seguras de todos los archivos.

Muchos proveedores de hosting ofrecen este servicio como parte de su paquete.

 

17. Establece los permisos de directorio con cuidado

Los permisos de directorio incorrectos pueden ser fatales, especialmente si estás trabajando en un entorno de alojamiento compartido.

En tal caso, cambiar los archivos y permisos de directorio es una buena medida para proteger el blog a nivel de alojamiento.

Establecer los permisos de directorio en “755” y los archivos en “644” protege todo el sistema de archivos: directorios, subdirectorios y archivos individuales.

Esto puede hacerse manualmente a través del Administrador de archivos dentro de tu panel de control de alojamiento, o a través del terminal (conectado con SSH) – usa el comando “chmod”.

Para obtener más información, puedes leer sobre el esquema correcto de permisos de WordPress o instalar el complemento iThemes Security para verificar tu configuración de permisos actual.

 

18. Desactiva la lista de directorios con .htaccess

Si creas un nuevo directorio como parte de tu blog y no colocas un archivo index.html , te sorprenderás al descubrir que tus visitantes pueden obtener una lista completa del directorio.

Por ejemplo, si creas un directorio llamado “data”, puedes ver todo en ese directorio simplemente escribiendo http://www.example.com/data/ en tu navegador.

No se necesita contraseña ni nada.

Puedes evitar esto agregando la siguiente línea de código en tu archivo .htaccess :

Options All -Indexes

 

Parte E: Asegura tus temas y pluggins de WordPress

Los temas y los pluggins son ingredientes esenciales de cualquier blog de WordPress.

Desafortunadamente, también pueden plantear serias amenazas de seguridad.

Veamos cómo puedes proteger los temas y pluggins de WordPress de la manera correcta:

 

19. Actualiza regularmente

Todos los buenos productos de software se actualizan de vez en cuando, pero WordPress se actualiza con mucha frecuencia.

Estas actualizaciones están destinadas a corregir errores y a veces tienen parches de seguridad vitales.

No actualizar tus temas y complementos puede significar problemas graves.

Muchos hackers confían en el mero hecho de que las personas no lo hagan.

La mayoría de las veces, esos hackers explotan errores que ya han sido reparados.

Entonces, si estás utilizando productos de WordPress, actualízalos regularmente.

Pluggins, temas…, todo.

 

20. Elimina el número de versión de WordPress

El número de versión actual de WordPress se puede encontrar muy fácilmente.

Básicamente está ahí, a la vista de todos.

Aquí está la cosa, si los hackers saben qué versión de WordPress utilizas, es más fácil para ellos crear el ataque perfecto.

Puedes ocultar tu número de versión con casi todos los pluggins de seguridad que te he recomendado.

Sin embargo, si te encuentras en la desafortunada situación de que ya te han pirateado, puedes limpiar tu blog con la ayuda de un plugin gratuito de Sucuri.

 

Ultimas palabras

Si eres un principiante te hemos ofrecido mucho contenido para asimilar.

Todo lo que te explicamos en este artículo es el camino para ir en la dirección correcta.

Cuanto más te importe la seguridad de tu sitio de WordPress, más difícil será para un pirata informático entrar en el.

Tu, dormirás más tranquilo.

Estos son algunos trucos para mejorar la seguridad de tu blog, pero ¿tienes otros?

Por favor comparte tus inquietudes y sugerencias con nosotros en los comentarios.

¡Nos vemos!

Deja un comentario