WordPress: 10 buenas prácticas en materia de seguridad para sitios web

WordPress: 10 buenas prácticas en materia de seguridad

WordPress: 10 buenas prácticas en materia de seguridad

WordPress (WP) es conocido como el más popular CMS, por entre muchas cosas, haber sido diseñado con énfasis en la accesibilidad, rendimiento, y facilidad de uso, estar en continuo desarrollo (versión actual 5.2), contar con una enorme comunidad de usuarios en muchos idiomas y tener una enorme capacidad de personalización mediante el uso de temas (themes) y complementos (plugins) propios o de terceros.

También por ser muy seguro, pero para eso como en toda aplicación o sistema se debe contar con unas buenas prácticas a seguir para lograr una implementación segura a largo plazo. Y en está publicación queremos proporcionar algunas recomendaciones básicas al respecto.

Introducción

WP al ser el más popular CMS para construir sitios web, también suele ser un blanco frecuente de ataques informáticos, por lo que a parte de su actualización constante, requiere de frecuente mantenimiento, actualización, y procedimientos de securización para así evitar las debilidades por vulnerabilidades en complementos, contraseñas débiles, software obsoleto, entre muchas otras razones, es decir, lograr reducir en gran medida su vulnerabilidad a cualquier ataque previsto o imprevisto.

Además, WP como cualquier otro Sistemas de Gestión de Contenido (CMS) permite construir rápida y eficientemente un sitio web para luego ponerlo en línea. Su altamente capacidad de trabajo y de crecimiento, vía módulos, temas complementos, facilita más que nunca lograr dicha tarea pero sin la necesidad de los largos años de aprendizaje que por lo general suelen ser requeridos para esto.

Sin embargo, un efecto secundario nada agradable que puede surgir de esto, puede ser que algunos encargados de dicha herramienta, suelan pasar por alto, las medidas necesarias para asegurarse de que el sitio web creado o mantenido se encuentre seguro. Por esto, es importante tener presente algunas medidas (buenas prácticas) generales y especificas, sobre WP o cualquier otro CMS y sitio web para mantenerlo seguro.

Buenas Prácticas

1.- Refuerce su seguridad en general

WP seguramente supera hoy en día con facilidad el 30% de la base de los sitios web activos en Internet, lo que lo convierte en un objetivo predilecto para los invasores y/o atacantes (hackers/crackers) con buenas o malas intenciones. Por ende, una vulnerabilidad conocida y ya explotada con éxito en un sitio similar con WP será intentada en otros sitios similares con WP.

WordPress: 1era Buena Práctica

Así que si usted administra y/o usa uno o varios sitio(s) web con WP asegúrese de ser más cuidadoso, exhaustivo y consciente de la seguridad en línea de los mismos. Tenga presente que las mayorías de las violaciones de seguridad analizadas y reportadas en sitios web con WP fueron tuvieron poco o nada que ver con el núcleo de la aplicación misma, pero si mucho que ver con todo aquello relacionado su implementación, configuración y mantenimiento general, llevado a cabo de forma incorrecta por parte de los desarrolladores o administradores».

WordPress: 2da Buena Práctica

2.- Conozca sus vulnerabilidades

WordPress tiene cerca de 4.000 vulnerabilidades de seguridad conocidas, distribuidas de la siguiente manera: WP Core (37%), Complementos (52%) y Temas (11%), según un informe reciente del sitio web WPScans, que ahora se llama WPSec (desde el 01-05-2019). Investigue las vulnerabilidades de seguridad que afronta su sitio web y busque una solución para resolver dichos problemas. Evite ejecutar versiones inseguras del WP Core, o de sus complementos y temas.

Enfóquese en los siguientes temas de seguridad en su WP o sitio web, es decir, en los diferentes tipos de Ataques de:

  • Fuerza bruta: Reforzando la seguridad en su pagina de inicio de sesión.
  • Inclusión de archivos: Reforzando la seguridad de su archivo de configuración wp-config.php.
  • Inyección SQL: Reforzando la seguridad de su base de datos MySQL asociada a WP.
  • Secuencias de comandos de sitios cruzados: Reforzando la seguridad de los complementos de WP usados.
  • Infección por Malware: Reforzando la seguridad general de su sitio web para evitar los accesos no autorizados, la inserción de malware y la posterior recopilación de datos confidenciales por parte de estos códigos maliciosos. Los Malware o ataques más frecuentes suelen ser del tipo: Backdoor, Spam SEO, HackTool, Mailer, Defacement y Phishing. Busque proteger su sitio contra cada uno de estos tipos de malware o ataque.

Recuerde que una vez que cualquier sitio web es vulnerado, su clasificación SEO puede verse afectada. Ya que los motores de búsqueda suelen registrar rápidamente los sitios web vulnerados para que en consecuencia, los navegadores indiquen a los visitantes señales de advertencia o bloqueen completamente la capacidad de navegar dichos sitios.

WordPress: 3ra Buena Práctica

3.- Conozca la infraestructura de su proveedor de Hosting

Si su sitio web usa un alojamiento externo, es decir, contratado fuera de su infraestructura, no escatime en costos para asegurar la calidad de servicio de su proveedor de hosting. Sobre todo, si el mismo aloja su sitio bajo el esquema de «alojamiento compartido».

Ya que si el «alojamiento compartido» es de baja calidad puede hacer que su sitio sea más vulnerable al verse comprometido uno de los varios sitios web almacenados en el mismo servidor. Es decir, si hay un sitio web es hackeado en un servidor con «alojamiento compartido», los atacantes también pueden obtener acceso a otros sitios web y sus datos.

WordPress: 4ta Buena Práctica

4.- Conozca las especificaciones técnicas web de su proveedor de Hosting

A la hora de evaluar un proveedor de hosting, su infraestructura no lo es todo. Las especificaciones técnicas web usadas por su proveedor de hosting para lograr una mejor seguridad de los sitio web alojados también es importante. Procure que el mismo siga las siguientes pautas de seguridad recomendadas para el alojamiento de su sitio web:

  • Fácil instalación de certificados SSL
  • Gestión activa de versiones de software del servidor web.
  • Protección de cortafuegos
  • Registro de accesos al sitio web
  • Auditorías de seguridad de rutina
  • Detección de actividad maliciosa
  • Soporte para SFTP (no solo FTP), TLS 1.2 y 1.3, y para PHP 5.6, como mínimo aunque se recomienda de 7.0 en adelante.

Todo esto es necesario, como mínimo para incrementar la seguridad de su sitio web con o sin WP como CMS usado.

WordPress - Temas y Complementos: Complementos

5.- Cuídese de los Temas y Complementos usados

Los plugins y temas que se instalen importan mucho a nivel de seguridad. Procure el uso de solo los temas y complementos oficiales de WP o certificados por la Comunidad, de repositorios comerciales bien conocidos o directamente de desarrolladores acreditados. Ya que muchos de ellos (no certificados) pueden contener códigos maliciosos.

No importa cuánto proteja su sitio web de WP si es usted quien instala el malware. Investigue antes de descargar e instalar cualquier tema y complemento, o su desarrollador o sitio web promotor, y tenga sus reservas con aquellos gratuitos o con descuento.

WordPress: 5ta Buena Práctica

6.- Procure actualizar frecuentemente su CMS

Las actualizaciones de su plataforma web son muy importantes para su seguridad. Ya sea WP su CMS o no, las versiones obsoletas de su Core, Tema o complementos pueden llevarle a albergar vulnerabilidades conocidas en su sitio web. En el caso de WP que es código abierto hay un equipo específicamente dedicado a ese asunto dentro del Core de la aplicación.

Cada vulnerabilidad de seguridad descubierta en WP, es corregida y eliminada inmediatamente para así solucionar cada nuevo problema de seguridad descubierto en WP. Debido a eso actualizar WP y todos sus temas y complementos a la última versión es un componente vital de una estrategia de seguridad exitosa.

WordPress: 6ta Buena Práctica

7.- Procuré una contraseña adecuada

La calidad o fortaleza de nuestras contraseñas en los sitios web es muy importante. El inicio de sesión de nuestros sitios web es un objetivo predilecto para la explotación de vulnerabilidades, porque proporciona el acceso más fácil a la página de administración de su sitio web.

Los ataques de fuerza bruta son el método más común para explotar su inicio de sesión, descubriendo el nombre de usuario y las combinaciones de contraseña para obtener acceso al sitio web. En el caso especifico de WP, por defecto esté no limita el número de intentos fallidos de inicio de sesión que alguien puede hacer, por ende, lo más recomendable es el uso de una contraseña compleja para el inicio de sesión de su administrador de WP.

Al elegir una contraseña tome en cuenta estos 3 requisitos fundamentales basados en el formato CLU (Complejo, Largo, Únicos):

  • COMPLEJO: Las contraseñas deben ser lo más al azar posible y lo menos relacionada con el Administrador Web o el Sitio Web.
  • LARGO: Las contraseñas deben tener 12 o más caracteres de longitud. Y fortalecidas con restricciones o limitaciones en el número de intentos de conexión fallidos.
  • ÚNICO: No reutilice contraseñas. Cada contraseña debe ser único en el tiempo. Esta simple regla limita drásticamente el impacto de cualquier contraseña que se vea comprometida.

Recomendación: Utilice un gestor de contraseñas como “LastPass” (online) y “KeePass 2” (offline) para generar y almacenar todas sus contraseñas en un formato cifrado.

WordPress: 7ma Buena Práctica

8.- Tenga siempre preparado su plan anti-desastres

Sí usa WP recuerde que este no tiene un sistema de copia de seguridad incorporado. Incluya uno como prioridad, para que siempre tenga una copia de seguridad actualizada de su sitio web. Las copias de seguridad son críticas y una estrategia de seguridad general a implementar.

No olvide que no solo debe respaldar sus sitios web y bases de datos usadas, sino todas las configuraciones de todo el servidor mediante tareas automatizadas con script o sistemas de imágenes clonadas, para facilitar las restauraciones y re-instalaciones necesarias en el menor tiempo posible.

WordPress: 8va Buena Práctica

9.- Aumente su seguridad usando 2FA

Fortalezca su inicio de sesión como administrador de WP o su sitio web mediante el mecanismo de autenticación de dos factores (2FA), el cual es una de las mejores maneras de asegurar su sitio web actualmente. La autenticación de dos factores agrega una capa adicional de protección a su inicio de sesión de su sitio web, al exigir que el uso de su contraseña, requiera un código adicional sensible al tiempo de otro dispositivo, como su teléfono inteligente, para iniciar sesión correctamente.

En el caso de WP que no ofrece de forma predeterminada está funcionalidad incorpore la misma mediante el uso de un complemento, como por ejemplo, iThemes Security para agregar la misma.

WordPress: 9na Buena Práctica

10.- Use cualquier complemento de seguridad necesario

La mayoría de los CMS como WP hacen uso de complementos para aumentar el potencial de seguridad de si mismos. En el caso especifico de WP se recomienda el uso del complemento de seguridad llamado iThemes Security para agregar aún más protección a su sitio web. Este complemento bloquea WP, reparar agujeros conocidos, detiene ataques automatizados y fortalece las credenciales de los usuarios.

Posee una versión gratuita (iThemes Security) y una paga (iThemes Security Pro) que evidentemente provee más más características de seguridad como 2FA, análisis programados de malware, registro de usuarios, entre otras cosas.

Conclusión

Ya sea sobre WP u otro CMS, usted puede evitar la mayoría de los problemas de seguridad de su sitio web con tan simplemente seguir estas mejores o buenas prácticas de seguridad. Su sitio web merece y debe tener implementadas las necesarias medidas de seguridad que garanticen o minimicen su inviolabilidad en estos tiempos tan convulsionados por la actividad de los hackers y crackers.

Por último y como añadido, le recomendamos leer este otro artículo de nuestro blog sobre el tema para reforzar la seguridad de su sitio web, llamado: Permisos de Linux para Administradores y Desarrolladores de Sistemas.


Sé el primero en comentar

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.