Aumenta la seguridad de WordPress

abril 8, 2022 Blog

Sabemos que está de moda el uso de el CMS WordPress, por ende se convierte en el foco de los hackers por las vulnerabilidades que tiene. por lo mismo dejamos algunos consejos de seguridad para que uses de ahora en adelante.

WordPress hasta el momento es el CMS con el 80% de amenazas directas, poniendo bajo el ojo su seguridad.

Índice de Contenido

¿Cómo aumentar la seguridad de mi WordPress?

1.- Mantén siempre actualizados

Los Plug-ins, Themas y WordPress, de preferencia no dejes los Plug-ins que se actualicen automáticamente, ya que en ocasiones dejan de ser compatibles y pueden crear que tu sitio quede fuera de circulación .

2.- Nunca uses plugins o themas de dudosa fuente

Que no descargues directamente de el proveedor o de https://wordpress.org

Sólo usa la fuente oficial, el repositorio de WordPress.
Lee la descripción.
Lee el control de cambios.
Aprende a interpretar la información del plugin.
Pondera las estrellas, lee las críticas.
¿Ofrecen un buen soporte?
Revisa su puntuación en RIPS CodeRisk.

Un plugin o tema tiene una vulnerabilidad y, debido a que no hay tantos ojos en él como el software central de WordPress, esa vulnerabilidad pasa desapercibida.
El desarrollador ha dejado de trabajar en la extensión pero la gente sigue usándola.
El desarrollador rápidamente parchea el problema, pero la gente no lo actualiza.
Wordfense

3.- Nunca compartas el acceso a tu Host, FTP, o Panel de WordPress

Nunca sabes si la persona sabe utilizarlo y de qué manera va a utilizarlo, para evitar problemas con tu sistema, siempre contrata personal capacitado o empresas que sepan hacer el trabajo.

Muchas veces le facilitamos el acceso a hijo que va a ser el encargado de “Diseñar el sitio” pero en realidad sabes si las herramientas que va a ocupar no darán problemas a corto o largo plazo.

Puedes evitar hasta la suplantación de sitio o que tu sitio se utilizado para spoofing y el pharming, entonces sí tener problemas legales con fraudes usadas por los ciberdelincuentes que buscan engañar a los usuarios de internet para quedarse con información personal y datos bancarios.

4.- Contratar un plan de Host que incluya WordPress

Esto te va a garantizar que el proveedor va aplicar todas las medidas de seguridad para evitar que sus servidores sean alterados o hackeados por el uso de Plugins de dudosa procedencia, poniendo en riesgo el servidor total.

Existe muchos proveedores que ofrecen muchas características para tu sitio web, pero existen pocos que tiene verdadera infraestructura y servicio de soporte eficiente.

Así que si vas a elegir un proveedor de host GRATIS, te decimos que lo pienses dos veces, vas a tener que compartir los recursos del servidor con miles de clientes, tus recursos de desarrollo estarán limitados, la velocidad del servidor siempre será mala, WordPress siempre te enviará errores al instalar Plugins o en el uso de editores como Elementor. Dejando un mal sabor de boca y mucha frustración.

Uno de nuestros proveedores preferidos es Hostgator y Siteground para los sitios de nuestros clientes y de nuestra empresa

5.- Algunos tips para aumentar la seguridad de tu WordPress

Hacer respaldos o backups antes de hacer cualquier actualización
Cuidado con los clubs GPL y los plugins/themas nulled.
Nunca sabes si tiene un troyano que abra una puerta trasera a tu WordPress
Después de la instalación verifica que el usuario Admin no exista.
Crea otro usuario administrador con otro nombre de usuario, eso te dará un poco de mayor seguridad
Usa contraseñas seguras
de más de 12 caracteres, puede ser una frase con números, símbolos y Letras en Mayúscula y Minúscula
Ínstala algunos plugins de seguridad
i Themes Security
Wordfence Security
All In One WP Security & Firewall
Autenticación de Dos Factores
Google Authenticator Para este existen las herramientas para que puedas generar el acceso desde tu celular Android Iphone WindowsPhone
WPS Hide Login
Security Ninja
Hide My WP
Ninguno es mejor que otro, se pueden utilizar en Combo

6.- El archivo .htaccess WordPress

Debes editar tu archivo .htaccess de tu servidor aumentando este código a el.

Un archivo .htaccess es un archivo de configuración especial que nos ayuda a mejorar la seguridad de WordPress al permitirle incluir varias reglas o directivas para personalizar páginas de error, realizar redireccionamientos o definir restricciones de acceso.

Con un pequeño fragmento de código que utilizaremos en .htaccess, podemos bloquear el acceso a determinados directorios o archivos, filtrar por IP, evitar listar directorios o impedir el acceso directo a determinados archivos php, como hemos visto hasta ahora. en este tutorial.

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
<IfModule>
# END WordPress

#Bloquear el acceso al archivo wp-config.php
<Files wp-config.php>
Order Allow,Deny
Deny from all
</Files>

La carpeta wp-content contiene imágenes, temas y plugins y es una carpeta muy importante dentro de tu instalación de WordPress, así que tiene sentido evitar que se pueda acceder a esta carpeta de forma no autorizada.

	Order deny,allow
	Deny from all
	<Files ~ ".(xml|css|jpe?g|png|gif|js)$">
	Allow from all
	</Files>

bloquear el acceso directo a los archivos con extensión .php que se encuentren dentro de las carpetas plugins y themes de nuestra instalación:

#Denegar la ejecución de archivos php dentro de las carpetas themes y plugins.
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*\.php)$ - [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*\.php)$ - [R=404,L]

Modificando la línea [R=404, L] podríamos variar el comportamiento y hacer que se muestre un código de error distinto, ya sea un 401 que comunicaría sobre un acceso no autorizado, un 403 para accesos no permitidos u otros que consideremos oportunos.

RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*\.php)$ - [R=401,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*\.php)$ - [R=401,L]

Protege tu archivo .htaccess

Cuando alguien intenta acceder a tu archivo .htaccess, el servidor genera automáticamente un error 403, Prohibido, incluso con permisos predeterminados del archivo.

Protegerlo es sencillo implementando el siguiente código en el archivo .htaccess de la carpeta principal del sitio WordPress:

	<Files .htaccess>
	order allow,deny
	deny from all
	</Files>

Evita el SPAM en los formularios de comentarios nativos de WordPress, procedentes de visitas sin cabecera HTTPS (sin URI), habituales de bots de spam, añadiendo el siguiente código en tu archivo .hatccess

RewriteEngine On
	RewriteCond %{REQUEST_METHOD} POST
	RewriteCond %{REQUEST_URI} .wp-comments-post.php*
	RewriteCond %{HTTP_REFERER} !.*dominio.com.* [OR]
	RewriteCond %{HTTP_USER_AGENT} ^$
	RewriteRule (.*) ^https://%{REMOTE_ADDR}/$ [R=301,L]

Cambia “dominio.com” por el nombre real del dominio que utilices en tu sitio web.

Disclaimer
El uso de los códigos aplícalos bloque por bloque y prueba que tu página funcione bien
El uso de los plugins son responsabilidad de el que lo usa, has pruebas con ellos y ocupa el que mejor te funciones

Quieres un sitio en WordPress

Alberto Hernandez

AlbertoHG

Seguridad informática y desarrollo en EfectoVisual | Web | + posts

Especialista en seguridad en línea (AVG)
Comunicación Social (CECS)
Programación y desarrollo web (Adobe)
Diseñador Gráfico (EDINBA)
Trabajando desde el año 2000 en proyectos digitales, páginas web, aplicaciones de escritorio, UX y UI
Master en Marketing Digital (UP)
Profesor de Photoshop avanzado (IPADE)