Seguridad en WordPress y Joomla!


Cómo proteger CMS basados en WordPress y Joomla!

WordPress y Joomla! son excelentes CMS (Sistema de gestión de contenidos) para crear sitios web de gran calidad y fáciles de actualizar.

Pero al ser extremadamente populares a nivel mundial, están expuestos constantemente al ataque de hackers que conocen todas y cada una de las fallas de seguridad que tienen los CMS mencionados.

Los hackers no necesitan una razón particular para atacar tu blog o sitio web. No les importa si se trata de un emprendimiento familiar, un pequeño negocio o una gran empresa. No les importa el daño que puedan causarte; no les importa si te hacen perder tiempo y dinero.  Tampoco les importará cuanto debas invertir para comenzar de nuevo y reconstruir todo desde cero. Para ellos, es simplemente un juego.

WordPress, Joomla! y aplicaciones similares, son desarrollos hechos por empresas independientes, cuentan con sus respectivas actualizaciones y requieren un seguimiento de seguridad periódico.

Como empresa proveedora de web hosting, Webhosting Argentina.net no tiene forma de monitorear los sitios web para ver si cuentan con las actualizaciones correspondientes o si están preparados para soportar ataques de "fuerza bruta", ya que cada cliente es responsable de la instalación, gestión y mantenimiento de los contenidos almacenados. Es decir que si utilizás aplicaciones obsoletas, vulnerables o desactualizadas en tu sitio, es probable que el mismo sea atacado en algún momento. Inclusive contando con todas las actualizaciones al día, es necesario implementar medidas de seguridad extra.

Desde Webhosting Argentina.net tenemos la responsabilidad de mantener la seguridad a nivel servidor, evitando ataques que puedan afectar la performance global del servidor. Este tipo de ataques a WordPress o Joomla! no son una falla de seguridad a nivel servidor, sino que es una vulnerabilidad propia de cada CMS.

A continuación encontrarás algunas recomendaciones para realizar un adecuado mantenimiento si  gestionás tu sitio web con algunas de estas plataformas.


Implementación de backups

Además de tener siempre actualizadas las versiones de software, plugins, temas (plantillas), etc., es muy importante que hagas un backup completo del sitio cada vez que realices alguna actualización. Recordá que tu sitio puede ser atacado aún teniendo las últimas actualizaciones instaladas.

Los backups se almacenan en el propio servidor, en el directorio principal Home. Podrás ir eliminando los backups antiguos a medida que se vayan acumulando en el servidor, o bien descargarlos a un dispositivo local.

Para hacer una copia de tus archivos y bases de datos, accedé al Panel de Control cPanel y seguí estas instrucciones:

  1. Hacé clic en el botón Copias de seguridad


  2. Luego de acceder a la página correspondiente, accedé al siguiente enlace para descagar una copia completa del FTP, bases de datos y reenviadores de correo:


  3. También podrás hacer una descarga puntual de la base de datos o los archivos almacenados en el FTP, utilizando las siguientes opciones:



Seguridad en WordPress

WordPress es el gestor de contenidos más popular y utilizado a nivel mundial. Justamente por ello, es el blanco preferido de miles de hackers en todo el mundo. Es muy importante seguir las recomendaciones de seguridad sugeridas por el propio desarrollador en http://codex.wordpress.org/Hardening_WordPress (en inglés).

Sabido esto, van algunas recomendaciones para aumentar la seguridad de tu WordPress al máximo:

  1. En la instalación cambie todo lo que venga por defecto. Nunca uses Admin como nombre de usuario, esto es lo primero que los hackers buscan para atacar. Tampoco uses el prefijo por defecto para las tablas de la base de datos.

  2. Utilizá contraseñas seguras, de 15 a 20 caracteres combinando letras mayúsculas y minúsculas, números y otros signos. Guardalas en un papel, no en tu computadora o dispositivo. Usá buenas contraseñas y cámbialas regularmente.

  3. Asigná permisos CHMOD 600 a los archivos wp-config.php y wp-settings.php

  4. Protegé tu WordPress con algunos de estos plugins de seguridad: iThemes Security/WP Better Security (recomendado), Wordfence, Bulletproof Security (BPS) u otro de comprobada eficiencia. Luego de instalar cualquiera de estos plugins, deberás tomarte algunos minutos para configurarlos y proteger tu WordPress lo máximo posible.

  5. Asegurá el acceso a tu área de administración agregando el siguiente código en el archivo .htaccess ubicado en la raíz del servidor:

    # Bloquear acceso a wp-admin
    <IfModule mod_rewrite.c>
    RewriteEngine on
    RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
    RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
    RewriteCond %{REMOTE_ADDR} !^xxx\.xxx\.xxx\.xxx$
    RewriteRule ^(.*)$ - [R=403,L]
    </IfModule>

    Donde se indican las letras xxx deberás reemplazarlas por los valores correspondientes a la IP con la cual estés conectado al momento en que necesites acceder al área de administración de tu WordPress. Para conocer tu número de IP actual, hacé clic aquí. Tené en cuenta que los proveedores de Internet suelen modificar la IP con la cual se conectan, es decir que posiblemente, tengas que actualizar este fragmento de código en el archivo .htaccess cada vez que necesites hacer modificaciones en el sitio. Aún así, es un método muy recomendable para mantener tu WordPress seguro.

  6. Desactivá el archivo xmlrpc.php para evitar ataques de fuerza bruta o inyección de código agregando el siguiente código en el archivo .htaccess ubicado en la raíz del servidor:

    # Bloquear acceso a xmlrpc.php
    <Files xmlrpc.php>
    order deny,allow
    deny from all
    </Files>

    En caso que tu sitio no funcione al bloquear el archivo xmlrpc.php, podés descargar el plugin XMLRPC Attacks Blocker, el cual permite desactivar determinadas funciones dependientes del formato XMLRPC.

  7. Reforzá tu WordPress contra los ataques de fuerza bruta usando los plugins Limit Login Attemps o Login Lockdown.

  8. No instales plugins en gran cantidad, ni desconocidos, ni dejados de actualizar por más de un año, o que puedan producir incompatibilidades. Los plugins que no conozcas deberías tenerlos un tiempo de prueba para ver si realmente valen la pena y todo va bien. En caso contrario, eliminalos de tu plataforma.

  9. Descargá e instalá temas solamente desde sitios de absoluta confianza, como el Repositorio oficial de WordPress o desarrolladores fiables como Elegant Themes.

  10. Descargá e instalá plugins solamente desde el Repositorio oficial de WordPress.

  11. Si no necesitás que los usuarios se registren en tu sitio, desactivá la opción de registro.

  12. Si no necesitás que los usuarios dejen comentarios en tu sitio, desactivá la opción de comentarios.

  13. Revisá, identificá y bloqueá los comentarios SPAM. Utilizá un plugin especializado en reducir el SPAM.

  14. Utilizá CAPTCHAS o códigos de seguridad en todos los formularios.

  15. Hacé copias de seguridad automáticas cada vez que actualices cualquier contenido, según se explica más arriba.

  16. Mantené siempre actualizada tu plataforma con la versión mas reciente de WordPress, así como los temas y plugins.

Además de estas recomendaciones, podés visitar los siguientes enlaces con información muy útil para el mantenimiento y gestión de WordPress:

Consejos y plugins para mejorar la seguridad en WordPress
15 maneras de asegurar WordPress
Hardening WordPress Security: 25 Essential Plugins + Tips (en inglés)
WordPress Support: Brute Force Attacks (en inglés)



seguridad en Joomla!

Joomla es tal vez uno de los gestores de contenido que más se ha mantenido en el tiempo, siendo aún uno de los CMS más elegidos en todo el mundo.

La versión 1.5 de Joomla! fue dada de baja oficialmente en abril de 2012 y ya no existe soporte ni parches de ningún tipo para esta rama de Joomla! El problema es que aún al día de hoy la versión 1.5.x sigue siendo la más utilizada por usuarios que desconocen estos detalles.

La versión 1.5 de este software no contemplaba ningún tipo de seguridad, dejando expuestos una gran cantidad de agujeros para la inyección de código malicioso por parte de hackers. 

Es por eso que te recomendamos que evites por completo utilizar Joomla! 1.5 ya que tarde o temprano, tu sitio será atacado indefectiblemente, una y otra vez. Nuestra recomendación es que migres a la versión mas reciente del programa.

Teniendo en cuenta este dato importante, van algunas recomendaciones para aumentar la seguridad de tu Joomla! al máximo:

  1. En la instalación cambie todo lo que venga por defecto. Nunca uses Admin como nombre de usuario, esto es lo primero que los hackers buscan para atacar. Tampoco uses el prefijo por defecto para las tablas de la base de datos.

  2. Utilizá contraseñas seguras, de 15 a 20 caracteres combinando letras mayúsculas y minúsculas, números y otros signos. Guardalas en un papel, no en tu computadora o dispositivo. Usá buenas contraseñas y cámbialas regularmente.

  3. Asigná permisos 644 a los archivos PHP, 666 a los archivos de configuración y 755 a otras carpetas.

  4. Eliminá todos los complementos no deseados y evitá utilizar extensiones desarrolladas por terceros.

  5. Si utilizás la versión 3.2 en adelante, implementá doble factor de autenticación para el login.

  6. Hacé copias de seguridad automáticas cada vez que actualices cualquier contenido, según se explica más arriba.

  7. Mantené siempre actualizada tu plataforma con la versión mas reciente de Joomla!, así como los complementos y extensiones.

Además de lo detalaldo arriba, visitá los siguientes enlaces con información muy útil para el mantenimiento y gestión de Joomla!:

¿Por qué es importante mantener el core del CMS actualizado?
Aplicando el Parche de Seguridad para Joomla 1.5.26
Security Checklist: You have been hacked or defaced (en inglés)
Webhosting Argentina.net . Todos los derechos reservados.
Contactate con nosotros