Seleccionar página

hay mucha gente que le achaca falta seguridad a la hora de estar protegido frente a ataques malicioso, la verdad es que se pueden evitar, para ello hay que configurar ciertas cosas y también se pueden añadir plugins que logran mejorar su seguridad, vamos a realizar una breve guía de como conseguir dichos objetivos, desde configurar mejor el .htaccess hasta los plugins que podrían sernos de utilidad.
Plugins que mejoran la seguridad de nuestro wordpress

BackUpWordpress: lo más básico, instalar dicho plugin y realizar copias de seguridad de nuestra base datos, es útil tanto para ataques como para cualquier problema que pudiera surgir en nuestra base datos, enviar una copia diaria a nuestro mail y guardar un histórico para poder restaurar si fuese necesario, además de copias en el servidor programadas.

Limit logins attempts básico, limitar el número de intentos de iniciar sesión por IP, cualquier ataque masivo será bloquedo, siempre que proceda de la misma IP.Muestra informe de inicios de sesión masivos, asi podemos banear la IP atacante.

Wordfence Security plugin de seguridad frente a ataques masivos, lleva firewall, analisis de virus y análisis en tiempo real.Hay que configurar su firewall que viene desactivado por defecto marcando la casilla enable firewall rules.

Sumamente recomendado este plugin para frenar ataques masivos de wordpress, junto con Better WP security, ambos realizan una buena protección de la instalación, primero se usa Better WP Secutity para reconfigurar el usuario admin y otros parámetros y después se desactiva.

Se activa Wordfence Security y se configura el firewall para frenar cualquier ataque masivo hacia nuestro wordpress.

Screen shoot de configuración Wordfence Security

Better WP Security es un plugin muy intuitivo y tiene de las mejores opciones de seguridad para nuestro wordpress:

Cambiar el usuario admin, si todavía no lo habéis hecho lo podéis hacer desde aquí
Cambiar el ID de usuario del administrador.
Cambiar el prefijo de las tablas de base de datos
Realizar copias de seguridad de la base de datos periódicas
Cambiar las rutas de acceso a login, admin y registro. Esto lo podéis hacer desde la pestaña Hide marcando “Habilitar administración oculta” y cambiando las rutas
Proteger el archivo .htaccess: Mediante este archivo se pueden establecer reglas, redirecciones… si este archivo no es seguro nos pueden estar realizando acciones que nos afecten tanto a posicionamiento como a funcionamiento sin darnos cuenta.

Ultimate Security Checker realiza un analisis de tu sitio de wordpress puntuando su seguridad y dandote los errores que ha hallado y el modo de solucionarlos.
Eliminar o modificar el usuario “admin” manualmente

La mayoria de los ataques a wordpress vienen usando este usuario que es le que por defecto trae wordpress en todas las instalaciones, las ultimas versiones de wordpress dan la opción al instalarlo de poner otro nombre, pero por rutina lo seguimos poniendo sin darnos cuenta de la vulneraciones que puede causar a la seguridad de nuestro blog seguir usandolo, es uno de los errores que infinidad de sistemas informaticos producen, vulnera terriblemente la seguridad, porque con ese usuarios es solo saltar la traba de la contraseña usada.

Pasos a seguir:

Entrar en el panel de administración e ir a usuarios, crear un nuevo usuario y darle permisos de administrador con otro nombre y procedemos a borrar el antiguo usuarios de administración.

El problema viene si ese usuarios lleva tiempo funcionando, tiene mucho contenido generado y esto nos puede causar enormes poblemas al eliminarlo, por ello si es asi tenemos que entrar a PHPMyAdmin.

Buscar en la base datos la tabla “wp_users” sino hemos cambiado el prefijo wp- de las tablas.

Cambiamos los campos “user_login”, “user_nicename” y “display_name” por el nuevo nombre de usuario. Cambia únicamente éstos y deja los demás tal cual, sin modificar. Guarda los cambios y tendrás el usuario listo y configurado, con el nuevo nombre de usuario asignado.

wordpress-admin
Configurar el fichero .htaccess para evitar hackeos
Bloquear IPs de usuarios o bots indeseados

Apache se puede configurar para bloquear usuarios o bots no deseables mediante este fichero, se añade el siguiente código:
order allow,deny allow from all deny from 123.456.789 deny from 93.121.788 deny from 223.956.789 deny from 128.456.780
Permitir únicamente tu IP para acceder al panel de administración de WordPress

Es una gran medida de seguridad, solo desde tu IP se puede acceder al panel de administración o las IP de los editores, si es un blog donde no hay usuarios logeados.

Reemplaza la IP de la línea de código “with allow from xx.xx.xx.xx” con la tuya para que sólo tu IP pueda acceder al panel de administración wp-admin de wordpress.
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName “WordPress Admin Access Control” AuthType Basic order deny,allow deny from all allow from xx.xx.xx.xx
Denegar acceso al fichero de configuración wp-config de WordPress

El archivo wp-config.php de WordPress incluye toda la información importante, como el nombre de base de datos. Es vital tenerlo bien protegido.
# protect wpconfig.php order allow,deny deny from all
Asegurar los plugins de WordPress

Los plugins de wordpress suelen tener “puertas traseras” y suelen ser sitios por los que los hackers pueden entrar en tu página web o blog. Para evitar que otras personas tengan acceso directo a los archivos de tus plugins usa el siguiente código:
order allow,deny allow from all
Proteger y bloquear el archivo .htaccess

Sí, también puedes bloquear el mismo archivo que se utiliza para añadir todas las anteriores reglas sobre directorios. Con la siguiente línea será sufiente para asegurarlo.
files ~”^.*\.([Hh][Tt][Aa])”> Order allow, deny Deny from all Satisfy all
Evitar la exploración de carpetas

Es de suma importancia prohibir que los visitantes puedan acceder y visualizar las distintas carpetas y directorios de WordPress (como wp-admin, por ejemplo). Solo tendremos que añadir estas línea a nuestro archivo .htaccess para bloquearlo por completo.
Options All -Indexes
Loguearse en dos pasos con Authy

Se trata como el sistema que usan muchas web, una forma de autenticarse en dos pasos, via movil, cada 20 segundo genera un token para loguearse en wordpress, que nos lo pide para entrar.

Plugin de Authy WP

Precios de Authy, desde gratuito hasta mensuales dependiendo el número usuarios a gestionar
Ultimos consejos

Estar al día de todas las actualizaciones de wordpress y plugins, es la medida seguridad esencial. Usar contraseña con letras, números y caracteres especiales de 10 digitos, los ataques masivos han sido a wordpress con contraseñas tipo: “pepe2012” y con usuario “admin”
Vulnerabilidades de WordPress
WordPress Version

No. of Installaciones

No.Vulnerabilidades
3.6 13,034 5
3.6.1 (latest) 7,814 0
3.5.1 6,859 8
3.5.2 4,031 0
3.4.2 2,204 12
3.5 1,655 10
3.3.1 820 24
3.2.1 820 10
3.3.2 732 14
3.4 295 15
Total (Excl 3.6.1) 30,823

WordPress Most Popular Security Plugins