Pautas de seguridad en WordPress

Cuando trabajamos con datos importantes de visitantes y clientes en nuestra web, debemos tener en cuenta la seguridad. Los casos de hacking se deben, en la mayoría de los casos, a que no gestionamos adecuadamente la seguridad de nuestro sitio web. Generalmente, lo primero que tendremos que hacer es cuidar y prestar atención a nuestra web. 

Sin embargo, sí podemos anotar dos razones frecuentes y principales por las que nos pueden hackear WordPress: contraseñas poco seguras y plugins sin actualizar. 

De todas maneras, ahora desglosaremos una serie de pautas que nos pueden ayudar a prevenir ciertos ataques: 

Actualizar WordPress

La primera recomendación que hacemos es que siempre tengamos a la última la herramienta WordPress. Como veremos más adelante, también haremos lo mismo con nuestros plugins y temas. Quedarnos en una versión antigua de WordPress puede desembocar en que ciertos usuarios se aprovechen de los errores que ésta disponía para atacarnos. Y siempre, antes de actualizar, realizaremos una copia de seguridad.

Plugins

Es crucial que actualicemos nuestros plugins. Debemos de tener en cuenta no sólo aquellos plugins antiguos u obsoletos, sino aquellos que sean nulled, descargados de lugares externos no fiables o que lleven consigo un fallo de seguridad o zero day. 

En el caso de los plugins, es muy conveniente limitar su uso a aquellos que sabemos seguro que vamos a necesitar en un futuro. Ello conlleva también hacer un seguimiento de aquellos plugins que no usamos para desinstalarlos. Como vemos, es cuestión de estar atentos y cuidar periódicamente nuestro uso. 

Además no descargaremos ni instalaremos plugins de torrents o páginas sospechosas. Es preferible descargar plugins de pago directamente de la página oficial de plugins de WordPress. 

Tema

El tema que escojamos también puede traernos problemas. Igualmente, debemos cuidar de que tenemos la última versión instalada y no descargaremos ni instalaremos temas de páginas sospechosas, puesto que podrían estar ya hackeados. En el caso de adquirir temas de páginas externas, ya sean de pago o gratuitos, nos tocará comprobar de manera periódica si han sufrido actualizaciones. Si utilizamos los temas del directorio de WordPress, éstos se actualizarán automáticamente. 

Fuerza Bruta

Para evitar que nos accedan mediante ataques de fuerza bruta, lo primero que tenemos que hacer es crear contraseñas robustas. En este tipo de ataque, el bot intentará, de manera continua, acceder al administrador mediante múltiples combinaciones posibles. Así que, otra cosa que podemos hacer es limitar el número de veces fallidas que intentan acceder a nuestro administrador haciendo uso de plugins.

Captcha

Para evitar, precisamente, casos como el anterior u otros ataques de bots, podemos protegernos mediante un formulario de autenticación o un doble factor de autenticación. Igualmente podremos protegernos contra el SPAM usando plugins. 

Backups periódicos y automatizados

A pesar de que nuestro hosting ya tenga programadas copias periódicas, es conveniente que nosotros hagamos las nuestras propias, incluso recurriendo a plugins para automatizarlas. 

Lo suyo es que lo guardemos en almacenamiento externo o, si no, ir descargando las copias (y eliminando las que nos sobren) que realizamos para no perderlas en caso de pérdida total de datos. 

Cambiar URL de login 

Al igual que poseer una contraseña robusta o limitar el número de accesos fallidos, cambiar la URL de login de administrador podrá evitar, en cierta medida, los ataques de fuerza bruta. Y como siempre, podemos disponer de ciertos plugins para cambiar la URL de wp-admin y wp-login.php. 

Firewall

No podemos dejar de recomendar que la instalación de un Firewall para la Web, puesto que consume pocos recursos y nos protege. 

Podemos aplicar Web Application Firewall a nuestro sitio web. Para ello, disponemos de  sistemas como mod_security para implementar un WAF en el servidor. Sin embargo, también podremos hacer lo mismo con un plugin e implementarlo en WordPress. 

Comentarios en WordPress

Incluso en nuestra sección de comentarios, podemos encontrarnos con algún bot malicioso que, mediante footprint, pueda hacer SPAM en esta sección. Para ello, también recurriremos a la implementación de un Captcha, como te hablábamos antes, aunque dañe en cierto modo la experiencia del usuario. 

De la misma manera, también te recomendamos que protejas las comunidades y foros, que pueden ser también objetivo de spammers. 

Estas han sido las pautas más básicas y sencillas que debemos tener en cuenta para comenzar a proteger y cuidar nuestro sitio Web. Como te adelantábamos al principio, es cuestión de estar atentos y observar el uso que realizamos de nuestra web para así mantenerlo limpio y actualizado.