Seguridad en WordPress: guía completa!

Actualizado: junio/2019 Versión: 5.2.x  Nivel: Medio

Seguridad en WordPress

WordPress, hoy en día, es uno de los CMS más utilizados para crear páginas web, blogs y tiendas online entre otros. Además, que al ser un software de código abierto (disponible para cualquier usuario), tiende a ser muy vulnerable a ataques y hackeos.

Por esta razón es prácticamente "obligatorio" contar con un sistema de seguridad en WordPress muy reforzado para que se mantenga siempre funcionando y seguro.

1. Pasos para proteger WordPress: seguridad anti-hackers!

Muchos usuarios de WordPress solo suelen instalar un plugin de seguridad en su sitio web y con eso creen que es suficiente. En principio no está mal pero, es mejor aplicar, adicionalmente, técnicas más avanzadas para "blindar al 100%" tu sitio web.

Una de las técnicas más utilizadas para mejorar la seguridad en WordPress es añadiendo reglas adicionales en los archivos wp-config.php y .htaccess.

Estos 2 archivos son los que controlan el funcionamiento de WordPress y es muy recomendable que sepas para que sirven y como editarlos.

Para que te familiarices con la edición de archivos, en la lección, editar archivos en WordPress, te indico 3 métodos para que realices esta acción.

1.1 No utilices el prefijo wp_ en tu base de datos

Cuando instalas WordPress por primera vez, es necesario que indiques los datos de configuración de tu base de datos.

La mayoría de estos datos los puedes crear desde el panel de control de tu servidor pero hay un dato adicional que puedes elegir cambiar: el Prefijo de tabla.

Por defecto WordPress asigna como prefijo "wp_" pero es recomendable cambiarlo durante el proceso de instalación.

En la lección, instalar WordPress paso a paso, podrás ver el proceso de instalación desde cero y como asignar estos datos para configurar tu base de datos.

Seguridad en WordPress

No uses wp_ como prefijo de tabla de la base de datos

Si ya has instalado WordPress con el prefijo wp_, en el artículo, modificar el prefijo en WordPress, puedes encontrar toda la información actualizada para que realices esta tarea con total seguridad y sin complicaciones.

1.2 No uses admin como usuario para acceder a WordPress

Cuando instalas WordPress por primera vez, debes indicar un nombre de usuario y contraseña con los que podrás ingresar luego al panel de administración de WordPress.

Irónicamente, suelo recomendar que utilices como nombre de usuario "admin" y contraseña "admin" al momento de la instalación. Pero esta recomendación no es una tontería.

En la primera instalación de WordPress, el usuario admin se registra en la base de datos con ID=1 y esto es algo que los hackers saben.

Una vez hayas instalado WordPress, desde el panel de administración, es recomendable crear un usuario "real" y eliminar el usuario admin de manera que al usuario real se asigne un ID diferente de 1.

En la lección, qué hacer después de instalar WordPress, te indico una serie de pasos para modificar el usuario "falso" creado en la instalación de WordPress.

Seguridad en WordPress

No uses admin como usuario para acceder a WordPress

1.3 Utiliza una contraseña fuerte para iniciar sesión

Cuando crees un nuevo usuario en WordPress, es muy recomendable utilizar una contraseña "fuerte" que sea prácticamente imposible de hackear.

WordPress, en sus últimas versiones, incluye un generador de contraseñas seguras que te recomienda utilizar. Una vez creada (o modificada) basta que la copies en un bloc de notas (por ejemplo) para tenerla siempre a mano.

Como actualmente, la mayoría de navegadores ofrecen la posibilidad de recordar contraseñas en tu ordenador (computadora), cuando inicies sesión con la nueva contraseña, puedes guardar la contraseña en el navegador (Chrome, Firefox o Safari) para que la recuerde en el próximo inicio de sesión (la que copiaste en el bloc de notas).

Igualmente, en algunos navegadores como Chrome y Firefox, puedes sincronizar los usuarios y contraseñas en la nube de manera que te puedas conectar a WordPress desde cualquier lugar y no tengas que memorizar una contraseña complicada.

Seguridad en WordPress

Usa una contraseña fuerte cuando crees un usuario

1.4 Manten WordPress actualizado en todo momento

El equipo que colabora con el desarrollo de WordPress, trabaja constantemente para detectar nuevas vulnerabilidades en el núcleo. Cada vez que detectan alguna, te ofrecen una actualización la cual deberías realizar inmediatamente una vez se encuentre disponible.

Si instalación de WordPress no se encuentra actualizada, es posible que exista una brecha de seguridad debido a que, la versión que tienes instalada, ya es vulnerable a ataques.

La ventaja de todo esto es que WordPress siempre te va a ofrecer la última versión para que la actualices desde el panel de administración por lo que no tendrás excusa para no hacerlo.

Esto mismo se aplica para los plugins y plantillas provenientes del repositorio de WordPress.

Si en tu caso, estás utilizando plugins y plantillas PREMIUM, lo más seguro es que el desarrollador de estos plugins y plantillas te ofrezca una actualización compatible con la última versión de WordPress.

Es recomendable que también realices esta actualización ya que normalmente los plugins son los elementos más vulnerables a ataques de todo tu sitio web.

En la lección, actualizar WordPress, te indico una serie de pasos para que aprendas a actualizar WordPress de forma segura.

1.5 No utilices plugins o plantillas obsoletas

Cuando vayas a instalar un plugin, asegúrate que se encuentre disponible la última versión del plugin y que sea compatible con la última versión de WordPress. Los plugins gratuitos del repositorio de WordPress suelen indicar estos datos.

No te fíes de plugins ni plantillas que lleven mucho tiempo sin ofrecer actualizaciones ya que seguramente se han quedado obsoletos y presentarán alguna vulnerabilidad en la seguridad de WordPress.

Si se trata de plugins o plantillas PREMIUM, asegúrate que estos tienen un historial de actualizaciones (normalmente llamado Changelog) y que las continúan ofreciendo.

No sería agradable comprar un plugin o una plantilla PREMIUM y, que al cabo de un tiempo, no ofreciera más actualizaciones.

Seguridad en WordPress

No instales plugins desactualizados e incompatibles con tu versión de WordPress

1.6 Elimina los plugins y plantillas que no utilices

Esto es algo que la mayoría de administradores de WordPress no hace, ¡lo que no sirve a la basura!

Si has estado realizando pruebas en WordPress, instalando plantillas y plugins para conocerlos mejor, llegará un momento en el que sólo te quedarás con los necesarios. El resto de plugins y plantillas que no utilices ¡por favor, elimínalos!

Estos no solo ocuparán un valioso espacio en tu servidor si no que es posible que no prestes atención a las actualizaciones y, al no encontrase activos, provoquen una brecha de seguridad en WordPress.

1.7 Descarga plugins y plantillas de sitios seguros

Todos los plugins y plantillas que se encuentran en el repositorio de WordPress, han sido testeados y son totalmente seguros para su instalación.

Muchos de estos plugins y plantillas suelen ofrecer una versión PRO (de pago con más funciones) que es recomendable descargarlas desde la propia página del autor.

En el caso de plugins y plantillas PREMIUM existen plataformas como Themeforest (plantillas) y Codecanyon (plugins) donde puedes comprarlos con total seguridad.

Evita descargar plugins y plantillas de otras páginas que se ofrecen como "gratis" ya que suelen venir con códigos espías como virus y malware que, no solo infectaran tu instalación de WordPress, si no que también infectarán tu ordenador (computadora).

Normalmente estas páginas tienen el indicativo Nulled en el título.

Seguridad en WordPress

No descargues plantillas ni plugins desde páginas sospechosas (Nulled)

1.8 Protege el archivo .htaccess

Como ya te he mencionado, el archivo .htaccess controla parte del funcionamiento de WordPress por lo que es muy recomendable y necesario protegerlo contra intentos de ataques.

Para esto vale con añadir la siguiente regla al inicio del archivo .htaccess:

<files .htaccess>
order allow,deny
deny from all
</files>

1.9 Protege el archivo de configuración de WordPress: wp-config.php

El archivo de configuración de WordPress, wp-config.php, contiene los datos de la base de datos de WordPress. Es muy importante que protejas este archivo ya que, si algún hacker se hace con estos datos, te quedarás sin WordPress.

Para esto puedes realizar las siguientes acciones:

  • Cambiar los permisos del archivo por 444 para protegerlo contra escritura. Esto lo puedes realizar mediante FTP (con FileZilla) o desde cPanel.
  • Añadir la siguiente regla al inicio del archivo .htaccess:
<Files wp-config.php>
order allow,deny
deny from all
</Files>

1.10 Protege la carpeta de archivos multimedia

La carpeta o directorio uploads, que se encuentra en la ruta wp-content/uploads/, es donde se aloja todo el contenido multimedia, como imágenes y archivos, y es muy susceptible a ataques. Es recomendable proteger este directorio para que los hackers no tengan acceso.

Para esto puedes añadir la siguiente regla al inicio del archivo .htaccess:

<Files ~ ".*\..*">
Order Allow,Deny
Deny from all
</Files>
<FilesMatch "\.(jpg|jpeg|jpe|gif|png|bmp|tif|tiff|doc|pdf|rtf|xls|numbers|odt|pages|key|zip|rar)$">
Order Deny,Allow
Allow from all
</FilesMatch>

1.11 Realiza copias de seguridad de tu sitio web

Es recomendable realizar copias de seguridad periódicas de tus archivos y base de datos ya que, si en algún momento se infecta tu instalación, puedas restaurarla con una versión limpia y puedas realizar las actualizaciones respectivas.

En la lección, copias de seguridad en WordPress, te indico 2 métodos para realizar esta tarea con total seguridad.

1.12 Utiliza permisos de archivos y directorios seguros

Asegúrate que los permisos para los directorios (carpetas) y archivos de la raiz de WordPress sean los siguientes:

  • Archivos: 644 (excepto wp-config.php que deberá tener 444)
  • Directorios: 755

Esto lo puedes realizar mediante FTP (con FileZilla) o desde cPanel.

1.13 Crea una cuenta en Google Search Console

A Google no le gusta las páginas con software malicioso. En sus directrices para webmaster especifíca que se debe evitar el uso de software malicioso en páginas web. En este artículo puedes encontrar más información.

Por esta razón es importante crear una cuenta en Google Search Console (antiguamente Herramientas para Webmasters de Google) ya que esta herramienta te ofrece una seguridad adicional para que Google te mantenga informado sobre:

  • Actualizaciones de WordPress.
  • Inyecciones de código.
  • Avisos de problemas de usabilidad.
  • Problemas de velocidad.

El plugin Yoast SEO se integra perfectamente con esta herramienta.

Seguridad en WordPress

Instala Google Search Console para mantener tu página segura

En la lección, crear una cuenta en Google Search Console, te indico los pasos para crear y configurar una cuenta de Google Search Console en WordPress.

1.14 Protégete del SPAM

Cuando se tiene un sitio web con formularios de contacto o de comentarios, es muy probable de que recibas SPAM. Estos son fáciles de detectar ya que están compuestos por muchos enlaces y palabras claves generadas por robots.

Las siguientes acciones te ayudarán a proteger tu sistema de comentarios:

  • Instala y configura el plugin Akismet. Este plugin viene por defecto integrado en el paquete de instalación de wordpress.org. Es muy sencillo de configurar y te ayuda a filtrar el SPAM proveniente de los formularios de comentarios de las entradas del blog.
  • Configura correctamente las opciones en el apartado Comentarios desde el panel de administración de WordPress.

En la lección, comentarios en WordPress, veremos como configurar correctamente los comentarios e integrar Akismet en WordPress.

Para proteger tus formularios de contacto:

  • Instala y configura el servicio reCAPTCHA. Este servicio se integra a los formularios de contacto generados por el plugin Contact Form 7.

En la lección, formularios en WordPress, veremos con más detalle como integrar este servicio a nuestros formularios de contacto en WordPress.

1.15 Evita la vulnerabilidad "pingback"

La vulnerabilidad pingback está relacionada con el protocolo XML-RPC y es el que permite que WordPress se conecte vía remota con la aplicación WordPress para iOS o Android y se envíen pingbacks o trackbacks en los comentarios.

El archivo relacionado es xml-rcp.php que se encuentra alojado en la raíz del directorio. Este archivo es muy vulnerable a ataques por lo que sería recomendable bloquear este archivo si no sueles utilizar WordPress mediante las anteriores aplicaciones.

La mejor manera de hacerlo es añadir la siguiente regla al inicio del archivo .htaccess:

<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

1.16 Instala un plugin de seguridad

La mayoría de medidas anteriormente descritas se realizan manualmente aunque existen otras medidas adicionales de seguridad en WordPress que se podrían aplicar.

Instalando un plugin de seguridad como Wordfence, muchas de estas medidas adicionales estarán cubiertas con un solo clic.

2. Instalación y configuración de WordFence en WordPress

Wordcence es uno de los mejores plugins que existen de seguridad en WordPress. Es un plugin gratuito (también ofrece versión PRO con funciones extra) que se encuentra en el repositorio de plugins de WordPress.

Este plugin instala un potente firewall en WordPress bloqueando IP's y limitando los intentos masivos de acceso al panel de administración de WordPress.

A continuación te indico los pasos para instalar y configurar el plugin de seguridad en WordPress:

Seguridad en WordPress

Wordfence: plugin de seguridad en WordPress

2.1 Instala el plugin

Inicia sesión en WordPress. Desde el apartado Plugins >> Añadir nuevo busca el plugin, instálalo y actívalo.

En la lección, plugins básicos para WordPress, tienes toda la información necesaria para instalar plugins en WordPress.

2.2 Ingresa el email de alertas

Una vez actives el plugin, Worfence te mostrará una ventana donde debes ingresar un correo electrónico para recibir alertas de seguridad.

Puedes omitir este paso cerrando la ventana pero es recomendable que indiques un correo electrónico ya que es la mejor manera de enterarte de los ataques que recibe tu sitio web.

  • Ingresa tu correo electrónico.
  • Selecciona entre YES/NO si deseas recibir alertas de seguridad y noticias sobre Wordfence.
  • Marca la casilla para aceptar los términos y condiciones.
  • Haz clic en el botón CONTINUE.
Seguridad en WordPress

Ingresa un correo electrónico para recibir alertas de seguridad de Wordfence

A continuación te pide que ingreses el número de licencia en caso que hayas adquirido la versión PREMIUM. Si estás utilizando la versión gratuita, haz clic en el enlace No Thanks.

2.3 Configura el firewall

En la parte superior de la pantalla verás un aviso: To make your site as secure as possible, take a moment to optimize the Wordfence Web Application Firewall:. Haz clic en el botón CLICK HERE TO CONFIGURE.

Seguridad en WordPress

Mensaje de configuración del firewall de Wordfence

Se abrirá otra ventana donde tendrás que seleccionar una configuración del servidor. Deja seleccionada la que indica por defecto: recomended based on our test.

Haz clic en el botón DOWNLOAD .HTACCESS y luego clic en el botón CONTINUE. Te mostrará otra ventana que indica que el firewall está configurado. Haz clic en el botón CLOSE.

Es posible que la recomendación del servidor sea diferente a la de la imagen. Eso dependerá del servidor donde tengas instalado WordPress.

Seguridad en WordPress

Selección del servidor en Wordfence

Para finalizar con la configuración del firewall, verás un bloque llamado Web Application Firewall Status. Selecciona Enabled and Protecting y haz clic en el botón SAVE CHANGES en la parte superior derecha de la pantalla.

2.4 Configura las opciones globales

En el menú principal de WordPress dirígete al aparatado Wordfence >> Dashboard. Haz clic en Global Options (icono de rueda dentada).

Estas opciones se pueden ir configurando según las necesidades que tengas. Una vez hayas realizado una configuración personalizada para tu sitio web, desde el apartado Import/Export Options, podrás exportarlas mediante un código (token) para luego importarlas en otras instalaciones de WordPress.

He realizado la mejor configuración posible de estas opciones por lo que te voy a facilitar el trabajo. Haz clic en este enlace para visualizar el código de configuración de Wordfence.

Despliega el apartado Import/Export Options y pega el código en el campo Import Wordfence options from another site using a token.

Haz clic en el botón IMPORT WORDFENCE OPTIONS y luego en RELOAD. De esta manera quedarán configuradas las opciones globales de Wordfence.

Por último, despliega el apartado General Wordfence Options y vuelve a escribir el correo electrónico de alertas en el campo Where to email alerts (el que has escrito en el punto 2.2). Haz clic en el botón SAVE CHANGES en la parte superior derecha de la página.

Si prefieres, con la ayuda de un traductor, puedes ir viendo una a una las opciones que Wordfence te ofrece y configurarlo a tu gusto.

2.5 Escanea tu sitio para comprobar vulnerabilidades

En el menú principal de WordPress dirígete al aparatado Wordfence >> Scan. Haz clic en el botón START NEW SCAN para comenzar con el escaneo de todos tus archivos de WordPress.

En la parte inferior de la página podrás observar el proceso de escaneo y las vulnerabilidades que presenta tu instalación de WordPress.

Seguridad en WordPress

Escaneo del sitio en Wordfence

Como puedes observar en la imagen, Wordfence indica que existen 2 vulnerabilidades en la instalación que ha escaneado:

  • WordPress core file modified: wp-config-sample.php. Se refiere al archivo wp-config-sample.php que es nativo de WordPress. Normalmente los escaneos que realiza Wordfence siempre van a indicar esta vulnerabilidad. No es nada grave y seguramente se deba a que este archivo no debería existir en una instalación de WordPress. Puedes eliminarlo del servidor o indicarle a Wordfence que lo ignore.
  • User "admin" with "administrator" access has an easy password. Esto se debe a que aún existe el usuario admin con la contraseña admin en WordPress. Obviamente este usuario hay que eliminarlo ya que es "crítico" que exista en una instalación en WordPress.

Realizando estos simples pasos y con este potente plugin de seguridad en WordPress, tendrás una instalación completamente segura.

Es posible que existan más técnicas para mantener seguro WordPress. Si conoces alguna que no haya indicado en esta lección, te invito a que lo compartas con el resto de usuarios dejando un comentario al final de esta lección.

¿Te ha gustado?

Te estaría muy agradecido si pudieras valorar esta lección y compartirla en las redes sociales. De esta manera me animas a continuar trabajando en este proyecto y ayudas a otras personas que desean aprender.

Valora esta entrada

1 estrella2 estrellas3 estrellas4 estrellas5 estrellas

(4 votos, promedio: 5,00 de 5)

Cargando…

Recibe notificaciones de actualizaciones

Suscríbete para recibir notificaciones de las actualizaciones del curso en tu correo.

Cuéntanos, ¿qué tal te la has pasado?

Deja un comentario si tienes alguna duda o comparte como ha sido tu experiencia. No necesitas registrarte para comentar. Cuando vayas a escribir tu nombre, marca la casilla Prefiero comentar como invitado y envía tu comentario.