Cómo hacer que WordPress sea seguro: Lo básico

WordPress es el motor de más del 35% de todos los sitios web del mundo. Sin embargo, incluso con un equipo de seguridad dedicado y una comunidad mundial vibrante y comprometida, los sitios web que se ejecutan en este sistema de gestión de contenidos líder a menudo son un objetivo de las violaciones de seguridad.

Sin embargo, la verdad es que WordPress es seguro: sólo el 14% de las vulnerabilidades de seguridad de WordPress provienen del núcleo de WordPress, y la organización de WordPress sigue procesos rigurosos para parchear estos problemas. Entonces, ¿cómo se exponen los sitios web de WordPress a los hackers? La mayoría de las veces, las vulnerabilidades de seguridad se producen por un mantenimiento insuficiente.

Es importante implementar algunas prácticas básicas, pero a menudo olvidadas, para su instalación particular de WordPress. En este artículo, veremos varias formas diferentes de garantizar la seguridad de tu sitio web.

Comience con su servidor

Antes de hacer nada, asegúrate de que el servidor que utilizas para ejecutar WordPress es seguro. Este proceso se describe como hardening y ayuda a reducir el riesgo de acceso no autorizado a tu servidor por parte de un tercero malintencionado.

Una de las mayores precauciones de seguridad que puede tomar con su servidor es actualizar su software. Las actualizaciones van desde parches de vulnerabilidad crítica hasta correcciones de errores menores y deben aplicarse con frecuencia y en un ciclo regular.

Gestionar tu propio servidor tiene muchas ventajas. El control total te permite hacer lo que quieras, pero la responsabilidad de asegurarte de que está bien mantenido recae sobre tus hombros. Si alojas tu sitio web de WordPress en Linode y no estás seguro de por dónde empezar a proteger tu servidor, este documento explica cómo endurecer tu Linode contra el acceso no autorizado.

Si estos pasos parecen demasiado onerosos, considere la posibilidad de utilizar un alojamiento de WordPress gestionado como Pressidium, que realiza todas las actualizaciones de seguridad a nivel de servidor (y muchas a nivel de WordPress) en su nombre.

Actualizar WordPress

Después del endurecimiento del servidor, tal vez la forma más fácil de mantener su sitio web de WordPress seguro es asegurarse de instalar cualquier actualización disponible de WordPress. Con un número significativo de colaboradores (alrededor de 70 desarrolladores contribuyeron con casi 5.000 commits al núcleo en 2019), no es sorprendente que veas una actualización disponible la mayoría de los meses. Estas actualizaciones vienen en dos sabores: 

1. Actualizaciones importantes en las que se lanzan nuevas funciones. Estas actualizaciones se publican aproximadamente dos veces al año.
2. Actualizaciones menores que abordan cualquier error o riesgo de seguridad en la versión actual. Estas actualizaciones pueden enviarse cada pocas semanas.

Si utilizas un proveedor de alojamiento de WordPress gestionado, estas actualizaciones deberían hacerse automáticamente por ti. Si tienes tu propio servidor, tendrás que actualizar manualmente tu versión de WordPress. Sólo tienes que entrar en wp-admin y, si hay una actualización disponible, verás una notificación en la parte superior de la página de inicio pidiéndote que la actualices. Sigue las instrucciones y WordPress descargará e instalará la actualización.

Aunque la mayoría de las actualizaciones se llevan a cabo sin problemas (especialmente las actualizaciones menores), es aconsejable hacer una copia de seguridad de su sitio web antes de ejecutar el proceso de actualización. También querrás probar tu sitio con cuidado después de la actualización, ya que algunos temas y plugins podrían no ser compatibles con la última versión de WordPress.

Actualice su tema y sus plugins

Junto con el núcleo de WordPress, notarás que los plugins y tu tema (si estás usando uno de terceros de un proveedor como Theme Forest) necesitan actualizaciones regulares. Dos razones comunes por las que los plugins y los temas pueden no estar actualizados son:

1. El propietario del sitio web se olvida de realizar la actualización, especialmente si ha pasado un tiempo desde la última vez que entró en wp-admin. 
2. Actualizar los plugins y/o el tema de WordPress puede romper el sitio, lo que puede ser desalentador.

Es frustrante cuando una actualización de un plugin que debería llevar dos minutos se convierte en un trabajo mayor porque tu sitio deja de funcionar. Cuando estás ocupado dirigiendo un sitio web o un negocio, encontrar el tiempo para solucionar el problema no es fácil. Por lo tanto, la tentación es significativa para restaurar el sitio de una copia de seguridad, que dejará el plugin obsoleto (s) y / o tema en ejecución.

Exactamente la misma situación puede ocurrir con las actualizaciones del núcleo de WordPress cuando se instala la última versión sólo para descubrir que parte de su sitio ya no funciona. Lo más fácil, pero potencialmente inseguro, es volver a una versión anterior que funcione y no volver a tratar el problema.

Este escenario es exactamente en el que se basan los hackers. Una parte importante de los hackeos de WordPress se llevan a cabo explotando vulnerabilidades conocidas en sitios web que ejecutan temas, plugins y núcleos de WordPress obsoletos. El coste de la pérdida de ventas o del daño a la reputación debido a un sitio web hackeado puede ser significativo.

Solucionar las vulnerabilidades de su ordenador

La seguridad de su servidor y de su instalación de WordPress es importante, pero una estación de trabajo insegura puede socavar esos esfuerzos. Por ejemplo, si se ha instalado un keylogger malicioso en su ordenador, un atacante puede recopilar su información de acceso a WordPress. Asegúrese de que los ordenadores que utiliza para acceder a WordPress están libres de malware, spyware y otras infecciones de virus utilizando un software antivirus.

Y, al igual que tu servidor, asegúrate de mantener el sistema operativo y el navegador actualizados aplicando los parches que vayan saliendo. Si navegas por sitios que no son de confianza, también es una buena idea utilizar herramientas como NoScript para evitar que cualquier contenido web ejecutable se ejecute en tu máquina.

Contraseñas y nombres de usuario

Sin la autenticación de dos factores, tu contraseña es todo lo que se interpone entre tu sitio web y alguien que quiera acceder a wp-admin. Por lo tanto, es de suma importancia elegir una contraseña compleja y única. 

Si necesitas inspiración a la hora de elegir una buena contraseña, puedes utilizar una herramienta como el Generador de 1Password. Utiliza siempre una contraseña diferente para cada sitio web. La mejor manera de llevar un control de las contraseñas fuertes es utilizando un gestor de contraseñas como el que proporciona 1Password.

Tan importante como una contraseña fuerte es asegurarse de no utilizar el nombre de usuario "Admin" por defecto:

• Dirígete a la sección de Usuarios y crea un nuevo usuario que tenga un nombre de usuario único.
• Asigne derechos de administrador a este usuario y establezca una contraseña fuerte y única para él.
• Salga de WordPress y vuelva a iniciar sesión con el nuevo nombre de usuario y contraseña.
• Vuelva a la sección de Usuarios y elimine el usuario Admin por defecto.

Autenticación de dos factores

La autenticación de dos factores (2FA ) se está convirtiendo en algo casi generalizado. La 2FA confirma las identidades declaradas por los usuarios mediante una combinación de algo que saben, algo que tienen o algo que son.

WordPress es una plataforma perfecta para el uso de 2FA, y esto puede ser fácilmente habilitado usando un plugin. Los plugins 2FA más populares son Duo y Two-Factor, aunque hay más disponibles (basta con buscar en el repositorio de plugins de WordPress). Con un sistema 2FA habilitado, puedes estar seguro de que incluso si tu contraseña fuera adivinada u obtenida de otra manera por un tercero, tu sitio web seguiría siendo seguro.

Utilizar un plugin de seguridad

Hay otras formas de reforzar su sitio web de WordPress para ayudar a mantenerlo seguro, como cambiar los nombres de las bases de datos y aprovechar las cabeceras de seguridad HTTP. Todo esto requiere, en su mayor parte, un nivel razonablemente alto de conocimientos técnicos y tiempo.

Algunos de los mejores plugins de seguridad para WordPress ofrecen una importante gama de funciones, como la supervisión de listas negras, el escaneo de archivos, la protección contra la fuerza bruta y los cortafuegos, entre otras. Pueden ofrecer formas sencillas de reforzar la seguridad de tu sitio web de forma rápida y con poca experiencia técnica.

Hay numerosos plugins disponibles pero, como con todos los plugins, es importante utilizar plugins de buena reputación y bien probados como Securi Security y Wordfence. Recuerda hacer una copia de seguridad de tu sitio web antes de instalar un nuevo plugin o hacer cualquier cambio significativo en la configuración del mismo.

Haz una copia de seguridad

Las copias de seguridad pueden ser un elemento lamentablemente descuidado en el mantenimiento de WordPress. Sin embargo, juegan un papel importante en la seguridad del sitio web. Tener una copia de seguridad de alta calidad le da la máxima tranquilidad de que si lo peor sucediera y su sitio fuera hackeado y dañado gravemente, entonces usted puede recuperarse rápidamente mediante la restauración de una copia de seguridad anterior. A continuación, puede aplicar los niveles adicionales de seguridad necesarios para evitar que se repita el hackeo.

Antes era complicado hacer buenas copias de seguridad de WordPress, pero en los últimos dos años el proceso se ha hecho muy fácil. Hay un montón de opciones para elegir, incluyendo plugins como UpdraftPlus, y sistemas de copia de seguridad externos como VaultPress o BlogVault.

En mi próximo post, hablaremos de algunas medidas avanzadas que puede seguir para ayudar a mantener su sitio web de WordPress seguro.