Seguridad en WordPress


Cómo proteger CMS basados en WordPress

WordPress es un excelente CMS (Sistema de gestión de contenidos) para crear sitios web de gran calidad y fáciles de actualizar.

Pero al ser extremadamente popular a nivel mundial, está expuestos constantemente al ataque de hackers que conocen todas y cada una de las fallas de seguridad existentes.

Los hackers no necesitan una razón particular para atacar tu blog o sitio web. No les importa si se trata de un emprendimiento familiar, un pequeño negocio o una gran empresa. No les importa el daño que puedan causarte; no les importa si te hacen perder tiempo y dinero.  Tampoco les importará cuanto debas invertir para comenzar de nuevo y reconstruir todo desde cero. Para ellos, es simplemente un juego.

WordPress, Drupal, Joomla! y otras aplicaciones similares son desarrollos hechos por empresas independientes, cuentan con sus respectivas actualizaciones y requieren un seguimiento de seguridad periódico.

Como empresa proveedora de web hosting, Webhosting Argentina.net no tiene forma de monitorear los sitios web para ver si cuentan con las actualizaciones correspondientes o si están preparados para soportar ataques de "fuerza bruta", ya que cada cliente es responsable de la instalación, gestión y mantenimiento de los contenidos almacenados. Es decir que si utilizás aplicaciones obsoletas, vulnerables o desactualizadas en tu sitio, es probable que el mismo sea atacado en algún momento. Inclusive contando con todas las actualizaciones al día, es necesario implementar medidas de seguridad extra.

Desde Webhosting Argentina.net tenemos la responsabilidad de mantener la seguridad a nivel servidor, evitando ataques que puedan afectar la performance global del servidor. Este tipo de ataques a WordPress no son una falla de seguridad a nivel servidor, sino que es una vulnerabilidad propia de cada CMS.

A continuación encontrarás algunas recomendaciones para realizar un adecuado mantenimiento si gestionás tu sitio web con WordPress.


Implementación de backups

Además de tener siempre actualizadas las versiones de software, plugins, temas (plantillas), etc., es muy importante que hagas un backup completo del sitio cada vez que realices alguna actualización. Recordá que tu sitio puede ser atacado aún teniendo las últimas actualizaciones instaladas.

Los backups se almacenan en el propio servidor, en el directorio principal Home. Podrás ir eliminando los backups antiguos a medida que se vayan acumulando en el servidor, o bien descargarlos a un dispositivo local.

Para hacer una copia de tus archivos y bases de datos, accedé al Panel de Control cPanel y seguí estas instrucciones:

  1. Hacé clic en el botón Copias de seguridad


  2. Luego de acceder a la página correspondiente, accedé al siguiente enlace para descagar una copia completa del FTP, bases de datos y reenviadores de correo:


  3. También podrás hacer una descarga puntual de la base de datos o los archivos almacenados en el FTP, utilizando las siguientes opciones:



Seguridad en WordPress

WordPress es el gestor de contenidos más popular y utilizado a nivel mundial. Justamente por ello, es el blanco preferido de miles de hackers en todo el mundo. Es muy importante seguir las recomendaciones de seguridad sugeridas por el propio desarrollador en http://codex.wordpress.org/Hardening_WordPress (en inglés).

Sabido esto, van algunas recomendaciones para aumentar la seguridad de tu WordPress al máximo:

  1. En la instalación cambiá todo lo que venga por defecto. Nunca uses Admin como nombre de usuario, esto es lo primero que los hackers buscan para atacar. Tampoco uses el prefijo por defecto para las tablas de la base de datos.

  2. Utilizá contraseñas seguras, de 15 a 20 caracteres combinando letras mayúsculas y minúsculas, números y otros signos. Guardalas en un papel, no en tu computadora o dispositivo. Usá buenas contraseñas y cámbialas regularmente.

  3. Asigná permisos CHMOD 600 a los archivos wp-config.php y wp-settings.php

  4. Protegé tu WordPress con algunos de estos plugins de seguridad: iThemes Security/WP Better Security (recomendado), Wordfence, Bulletproof Security (BPS) u otro de comprobada eficiencia. Luego de instalar cualquiera de estos plugins, deberás tomarte algunos minutos para configurarlos y proteger tu WordPress lo máximo posible.

  5. Asegurá el acceso a tu área de administración agregando el siguiente código en el archivo .htaccess ubicado en la raíz del servidor:

    # Bloquear acceso a wp-admin
    ErrorDocument 403 "Acceso denegado."
    <FilesMatch "wp-login\.php|xmlrpc\.php|admin-ajax\.php">
    Require all denied
    #Require ip 1.1.1.1 2.2.2.2
    </FilesMatch>

    Cuando necesites acceder al área de administración de tu WordPress deberás editar el archivo .htaccess y donde se indica la IP deberás reemplazar ese número por el correspondiente a la IP con la cual estés conectado y quitar el asterisco al principio de la línea. Para conocer tu número de IP actual, hacé clic aquí. Tené en cuenta que los proveedores de Internet suelen modificar la IP con la cual se conectan, es decir que posiblemente, tengas que actualizar este fragmento de código en el archivo .htaccess cada vez que necesites hacer modificaciones en el sitio. Aún así, es un método muy recomendable para mantener tu WordPress seguro.

  6. Desactivá el archivo xmlrpc.php para evitar ataques de fuerza bruta o inyección de código agregando el siguiente código en el archivo .htaccess ubicado en la raíz del servidor:

    # Bloquear acceso a xmlrpc.php
    <Files xmlrpc.php>
    order deny,allow
    deny from all
    </Files>

    En caso que tu sitio no funcione al bloquear el archivo xmlrpc.php, podés descargar el plugin XMLRPC Attacks Blocker, el cual permite desactivar determinadas funciones dependientes del formato XMLRPC.

  7. Reforzá tu WordPress contra los ataques de fuerza bruta usando los plugins Limit Login Attemps o Login Lockdown.

  8. No instales plugins en gran cantidad, ni desconocidos, ni dejados de actualizar por más de un año, o que puedan producir incompatibilidades. Los plugins que no conozcas deberías tenerlos un tiempo de prueba para ver si realmente valen la pena y todo va bien. En caso contrario, eliminalos de tu plataforma.

  9. Descargá e instalá temas solamente desde sitios de absoluta confianza, como el Repositorio oficial de WordPress o desarrolladores fiables como Elegant Themes.

  10. Descargá e instalá plugins solamente desde el Repositorio oficial de WordPress.

  11. Si no necesitás que los usuarios se registren en tu sitio, desactivá la opción de registro.

  12. Si no necesitás que los usuarios dejen comentarios en tu sitio, desactivá la opción de comentarios.

  13. Revisá, identificá y bloqueá los comentarios SPAM. Utilizá un plugin especializado en reducir el SPAM.

  14. Utilizá CAPTCHAS o códigos de seguridad en todos los formularios.

  15. Hacé copias de seguridad automáticas cada vez que actualices cualquier contenido, según se explica más arriba.

  16. Mantené siempre actualizada tu plataforma con la versión mas reciente de WordPress, así como los temas y plugins.

Además de estas recomendaciones, podés visitar los siguientes enlaces con información muy útil para el mantenimiento y gestión de WordPress:

Consejos y plugins para mejorar la seguridad en WordPress
15 maneras de asegurar WordPress
Hardening WordPress Security: 25 Essential Plugins + Tips (en inglés)
WordPress Support: Brute Force Attacks (en inglés)
Webhosting Argentina.net . Todos los derechos reservados.
Contactate con nosotros