Preguntas frecuentes

Gestión de Wordpress

Asegurar un sitio en Worpdress para evitar ataques de fuerza bruta e inyección de código malicioso

Wordpress es un excelente CMS (Sistema de Gestión de Contenidos, por sus siglas en inglés) para crear sitios web de gran calidad y fáciles de actualizar.

Pero al ser tan popular a nivel mundial, está expuesto constantemente al ataque de hackers que se dedican a buscar fallas de seguridad que permitan inyectar código malicioso para realizar acciones de spam y pishing.

Cualquier sitio basado en Wordpress es plausible de ser atacado, ya sea la web de un emprendimiento familiar, un pequeño negocio o una gran empresa.

Wordpress, al igual que Joomla, Drupal y otros CMS similares, son desarrollos hechos por empresas independientes, cuentan con sus respectivas actualizaciones y requieren un seguimiento de seguridad periódico.

Como empresa proveedora de alojamiento web, Webhosting Argentina no tiene forma de monitorear cada uno de los sitios alojados en sus servidores para ver si cuentan con las actualizaciones correspondientes o si están preparados para soportar ataques de "fuerza bruta", ya que cada cliente es responsable de la instalación, gestión y mantenimiento de sus contenidos y plataformas. Es decir que si utilizas aplicaciones obsoletas, vulnerables o desactualizadas, es probable que el sitio web sea atacado en algún momento. Inclusive contando con todas las actualizaciones al día, es necesario implementar medidas de seguridad extra.

Desde Webhosting Argentina tenemos la responsabilidad de mantener la seguridad a nivel servidor, evitando ataques que puedan afectar la performance global del equipo. Está comprobado que este tipo de ataques no son una falla de seguridad a nivel servidor sino que se trata de una vulnerabilidad propia de cada CMS.

Asegurar un sitio basado en Wordpress

1. Antes de empezar, es importante revisar las recomendaciones de seguridad sugeridas por el propio desarrollador en el artículo Fortaleciendo Wordpress.

2. Durante la instalación cambia todo lo que venga por defecto. Nunca uses Admin como nombre de usuario, esto es lo primero que los hackers buscan para atacar. Tampoco uses el prefijo por defecto para las tablas de la base de datos.

3. Utiliza contraseñas seguras, de 15 a 20 caracteres combinando letras mayúsculas, minúsculas, números y otros signos. Guardalas en un papel, no en tu computadora o dispositivo. Toma como rutina cambiar la contraseña de Worpdress regularmente.

4. Accede al servidor con un programa FTP y asigna permisos CHMOD 600 a los archivos wp-config.php y wp-settings.php para evitar que sean editables por terceros.

5. Protege tu Wordpress con algún plugin de seguridad como iThemes Security, Wordfence Security, BulletProof Security u otro de comprobada eficiencia. Luego de instalar un plugin de seguridad deberás tomarte el tiempo necesario para configurarlo de forma adecuada y así asegurar tu Wordpress al máximo posible.

6. Bloquea el archivo wp-admin.php para asegurar el acceso al área de administración de Wordpress agregando el siguiente código en el archivo .htaccess ubicado en la carpeta httpdocs o public_html (según corresponda):

   # Bloquear acceso a wp-admin
   ErrorDocument 403 "Acceso denegado."
   <FilesMatch "wp-login\.php|xmlrpc\.php|admin-ajax\.php">
   Require all denied
   Require ip 111.111.111.111
   </FilesMatch>

   Cuando necesites acceder al área de administración de tu Wordpress deberás editar el archivo .htaccess reemplazando el código 111.111.111.111 por el número de IP con el cual estés conectado a Internet. Utiliza el siguiente enlace para saber cuál es tu dirección IP. Si bien esto puede resultar algo engorroso para repetirlo cada vez que edites contenidos, se trata de un método muy recomendable para mantener segura el área de administración de tu Wordpress.

7. Desactiva el archivo xmlrpc.php para evitar ataques de fuerza bruta o inyección de código agregando el siguiente código en el archivo .htaccess ubicado en la carpeta httpdocs o public_html (según corresponda):

   # Bloquear acceso a xmlrpc.php
   <Files xmlrpc.php>
   order deny,allow
   deny from all
   </Files>

   En caso de que tu sitio deje de funcionar luego de bloquear el archivo xmlrpc.php vía .htaccess sugerimos descargar el plugin Disable XML-RPC-API, el cual permite desactivar determinadas funciones dependientes del formato XMLRPC y ofrece diversas capas de seguridad extra.

8. Asegura tu Wordpress contra ataques de fuerza bruta usando algún plugin como Limit Login Attempts Reloaded o Login Lockdown.

9. Descarga e instala plugins solamente desde el Repositorio oficial de Wordpress. No instales plugins de origen dudoso o que no hayan recibido actualizaciones por más de un año. Tampoco instales más plugins de los que realmente necesites.

10. Descarga e instala temas solamente desde sitios de absoluta confianza, como el Repositorio oficial de WordPress o desarrolladores fiables como Elegant Themes o ThemeForest.

11. Si no necesitas que los usuarios se registren en tu sitio, desactiva la opción de registro.

12. Si no necesitas que los usuarios dejen comentarios en tu sitio, desactiva la opción de comentarios. En caso de que los comentarios deban estar activados, utiliza el plugin Disable Comments para controlar el spam en los mensajes.

13. Utiliza alguna herramienta de CAPTCHA en todos los formularios del sitio para evitar el ataque de robots spammers.

14. Realiza copias de seguridad completas cada vez que termines de actualizar los contenidos del sitio para tener un backup de respaldo ante posibles ataques. En caso de utilizar panel de control Plesk, revisa este instructivo para hacer un backup del sitio y la base de datos.

15. Es fundamental mantener siempre actualizada tu plataforma Wordpress con la versión más reciente. Lo mismo para los temas, plugins y, de ser posible, la versión de PHP del servidor.