Tutorial para aumentar la seguridad de tu blog en WordPress

La semana pasada WordPress sufrió uno de los ataques hacker más feroces de la historia. Son muchísimas personas las que utilizan esta fantástica herramienta para montar sus páginas web o sus blogs.

Si tu utilizas WordPress y quieres saber cómo puedes proteger tu web ante ataques de este tipo, no te pierdas este pequeño tutorial que he preparado para ti.

Cambia el usuario admin y utiliza contraseñas seguras

En WordPress el usuario por defecto es el llamado «admin». Casi nadie se preocupa de crear un nuevo usuario y ese es uno de los principales puntos flacos, unido al uso de contraseñas extremadamente simples.

Por lo tanto, crea un nuevo usuario y utiliza una contraseña segura.

Instala un plugin que limite el número de intentos de acceso

Por defecto, WordPress no pone límites al número de veces que se puede intentar acceder sin éxito al panel de administración. Esta falta de limitación, unida al extendido uso del usuario admin y a las contraseñas sencillas hace que un gran número de páginas que utilizan WordPress estén expuestas a ataques de fuerza bruta.

Puedes instalar el plugin Limit Login Attempts, que como su nombre indica nos ayudará a limitar el número de veces que es posible fallar al hacer login.

Realiza copias de seguridad periódicamente

Otro de los fallos más comunes es no realizar nunca una copia de seguridad. Esto es un tremendo error, ya que las páginas en internet están constantemente expuestas a ataques de todo tipo.

Es muy posible que pienses «bah, quien va a molestarse en atacar mi web, es muy pequeña» o cosas por el estilo. Te puedo asegurar que la cara que se te queda es un poema cuando quieres acceder a tu web y de repente solo ves letras en árabe y algún mensaje con el texto «Hacked by…».

Por suerte o por desgracia, he tenido que enfrentarme con multitud de webs que han sido hackeadas en distintos sistemas (wordpress, joomla, etc) y algunas veces solucionarlo es tan fácil como borrar un fichero y otras veces tan complejo que mejor dar la web por perdida. Quien avisa no es traidor…

En concreto, para realizar copias de seguridad en WordPress yo te recomiendo el plugin Backup Buddy. Te adelanto que se trata de un plugin de pago, pero si te dedicas a esto de las páginas web o los blogs de una forma mínimamente seria, no puedes ir por ahí sin una copia de tu web.

Si no quieres gastarte dinero, que sepas que también existen alternativas gratuitas. Yo después de haber probado prácticamente todo lo que existe, te puedo asegurar que Backup Buddy es el mejor plugin que existe, punto pelota. Yo no me la juego con mi web.

Mantén tu WordPress y tus plugins actualizados

Otro de los puntos flacos que tienen muchos blogs se concentra en las versiones no actualizadas del software. WordPress es uno de los gestores de contenidos más extendidos del mundo. Por esa misma razón, suele ser el blanco preferido por los hackers. Ellos se dedican a buscarle las cosquillas al sistema y muchas veces encuentran esos agujeros o fallos en el código que aprovechan para sus oscuras intenciones.

Por lo tanto si no actualizas tu sistema, multiplicas las probabilidades de que tu blog reciba un ataque por parte de un Hacker.

Instala un plugin que blinde tu sistema

Existen multitud de acciones que se pueden llevar a cabo para blindar tu WordPress ante posibles atacantes, el problema es que no todo el mundo es un experto en WordPress ni conoce todos los entresijos técnicos al detalle.

Yo te recomiendo que instales el plugin Better WP Security. Con este plugin podrás activar y desactivar fácilmente todas esas opciones que hacen que tu sistema sea más propenso a recibir ataques por parte de Hackers.

Entre otras cosas te permite hacer:

  • Ocultar el número de versión de WordPress
  • Cambiar las URL de acceso al panel de administración
  • Cambiar el usuario admin por defecto
  • Cambiar el prefijo de la base de datos de WordPress
  • Ocultar mensajes de error al tratar de hacer login
  • Escanear tu WordPress en busca de vulnerabilidad
  • Mejorar la seguridad del servidor

Instala un Firewall

Este punto se complementa perfectamente con el anterior. Por un lado con el plugin Better WP Security blindarás los accesos a los ficheros de tu WordPress y por otro lado, si utilizas un Firewall como por ejemplo OSE Firewall podrás proteger también la base de datos de tu sitio ante ataques del tipo SQL Injection, entre otros.

OSE Firewall te permite:

  • Detectar ataques DoS
  • Detectar ataques de SQL Injection
  • Detectar ataques de Javascript Injection
  • Detectar y bloquear código marcado como SPAM

¿Como comprobar si tu web ha sido hackeada?

Normalmente te darás cuenta rápidamente, ya que lo típico es que te borren tu usuario, te cambien la clave y te modifiquen la página de inicio con algún mensaje reivindicativo. Pero también hay ocasiones en que ni te enteras de que tu web está infestada de troyanos y diversos virus. Este tipo de infecciones lo que buscan normalmente es capturar todos los datos que puedan, ya sean personales o del tipo tarjetas de crédito.

Para salir de dudas puedes utilizar la herramienta Sucuri SiteCheck, que realizará un escaneo totalmente gratuito de tu web.

Si sigues las recomendaciones que te he puesto en este artículo, estoy seguro de que te protegerás de por lo menos un 80% de todos los ataques que hay actualmente en internet. De todas maneras, recuerda que no existe sistema 100% seguro…

7 comentarios en “Tutorial para aumentar la seguridad de tu blog en WordPress”

  1. Genial tu post después de lo que ha pasado con el ataque a WordPress. Se lo enviaré a mi compañero programador, que es el que trastea en el blog que tenemos hecho en WordPres, (ya que yo sólo escribo en él a nivel de usuaria), y seguro que le será de gran utilidad. Un abrazo!!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Responsable del fichero: ​Jose Cabello .Finalidad; envío de mis publicaciones así como correos comerciales.La Legitimación; es gracias a tu consentimiento.Destinatarios: tus datos se encuentran alojados en mi plataforma de email marketing Active Campaign cuyo titular es Active Campaign LLC, alojada en EEUU y suscrita al EU PrivacyShield.Podrás ejercer Tus Derechos de Acceso, Rectificación, imitación o Suprimir tus datos enviando un email a ​jose@josecabello.net o ante la Autoridad de Control.Encontrarás más información en mi política de privacidad

Share This
Ir arriba