Asegurar WordPress

12 abril, 2015 0 Comentarios

Seguridad, WordPress

, , , ,

Redes sociales

WordPress es un sistema de gestión de contenidos (CMS) multiplataforma. Se considera que el 17% de los sitios web actuales utilizan el mencionado CMS, y el número sigue creciendo.

WordPress hace que sea fácil de crear, mantener y actualizar un sitio web, sin apenas limitaciones en lo que se puede hacer en él. Esto explica por qué es uno de los CMS más utilizado hoy en día.

Pero si está pensando que puede usar WordPress sin tener que preocuparse por la seguridad, debería de leer este artículo.

Asegurando WordPress

WordPress: Estadísticas de Seguridad

La verdad es que WordPress está muy abierto a ataques de seguridad. Una búsqueda rápida de todas las vulnerabilidades reportadas en la National Vulnerability Database muestra que hay casi 1000 vulnerabilidades relacionadas con WordPress.

Por supuesto que la búsqueda de vulnerabilidades en la National Vulnerability Database podría tener algunas limitaciones y puede no ser un indicador preciso de las debilidades de seguridad de WordPress, es, sin embargo, un buen recordatorio para todos nosotros, de que debemos tomarnos la seguridad en nuestros sitios Web WordPress muy seriamente.

Si esto no termina de convencerle, veamos algunos ejemplos recientes:

El 6 de agosto de 2014, The Hacker News informó que se bloquearon millones de páginas web creadas con WordPress y Drupal mediante ataques de denegación de servicio.

Sólo unos pocos meses después, en diciembre de 2014, The Hacker News informó también, que más de 100.000 Sitios web WordPress, tras ser atacados por el ‘SoakSoak Malware’ comprometieron la seguridad de sus visitantes al redirigirlos a páginas web potencialmente peligrosas.

¿Qué hace a WordPress tan vulnerable?

La popularidad

WordPress es inmensamente popular. De acuerdo con las estadísticas oficiales de la organización, hay más de 66 millones de sitios WordPress en todo el mundo, con aproximadamente 100.000 nuevas instalaciones cada día. Este CMS es utilizado por muchos de los sitios web más visitados del mundo, tales como CNN, Mashable, The New York Times, NBC Sports, UPS, TechCrunch, Forbes, Reuters, Sony o eBay.

WordPress Es fácilmente el CMS más popular del mundo hoy en día. Esto significa que si un hacker descubre una manera de hackear WordPress, para él o ella es como descubrir una mina de oro. Tendrá literalmente millones de sitios a los que atacar.

Las versiones antiguas

WordPress publica de vez en cuando nuevas versiones. Sin embargo, muchos usuarios no actualizan nunca la versión de WordPress que utilizan, siguen la máxima de que “si algo funciona, para que cambiarlo”. Lo que ocurre es que las versiones antiguas tienen más vulnerabilidades que las versiones actuales, ya que sobre ellas no se han aplicado los últimos parches y actualizaciones de seguridad.

Temas y plugins problemáticos

A veces, las vulnerabilidades no vienen del propio WordPress sino de los complementos que se utilizan. Algunos plugins y temas están tan mal escritos que instalarlos es como poner una alfombra de bienvenida para los hackers. Otros plugins incluso vienen con malware. Y algunos temas son troyanos, disfrazados de temas válidos que una vez activados, atacan al sistema WordPress y a la base de datos del sitio.

La laxitud

Una gran cantidad de usuarios no se toman en serio el asegurar WordPress. Utilizan contraseñas débiles y no toman medidas preventivas contra los posibles ataques de los hackers.

Cómo fortalecer la seguridad de WordPress

Así que con todas estas vulnerabilidades potenciales, ¿qué es lo que tiene que hacer para asegurarse de que su sitio no es vulnerable?

1. Use sólo la última versión de WordPress, plugins y temas. Si está utilizando versiones anteriores, actualice a la última versión de inmediato.

2. Oculte el archivo wp-config.php. De todos los archivos de una instalación de WordPress, el wp-config.php debe ser el más confidencial. Este archivo se encuentra, por defecto, en el directorio raíz, por lo que es fácil para los hackers localizarlo. La buena noticia es que las versiones actuales de WordPress permiten mover este archivo a otro ubicación para que, su localización y lectura sea más complicada.

3. Olvídese de utilizar como nombre de usuario “admin”. Una de las muchas maneras en que los hackers obtienen acceso a las instalaciones de WordPress es por fuerza bruta. Esto quiere decir que van a utilizar un programa para probar una larga lista de palabras tanto para el nombre de usuario como para la contraseña. No hagamos el trabajo de los hackers más fácil utilizando el nombre de usuario por defecto: “admin”. Por lo menos, que tengan que adivinar su nombre de usuario y contraseña antes de acceder.

4. Utilice plugins de seguridad para prevenir estos y otros problemas. Podría utilizar los siguientes plugins:

Login Lockdown
Login Lockdown registra la hora y dirección IP de cualquiera que intente acceder a su sitio WordPress. Si desde esa IP se supera cierto número de intentos fallidos, el plugin desactiva el formulario de acceso. Esta es una forma muy efectiva para prevenir los ataques por fuerza bruta.

Secure WordPress
Es posible que no lo sepa, pero los hackers a menudo puede encontrar vulnerabilidades en su instalación de WordPress con sólo mirar a la información que está disponible libremente en su sitio. Por ejemplo, la versión de WordPress que está utilizando, o qué plugins necesitan ser actualizados. WordPress Secure ocultaría esta información de usuarios no autorizados además de disponer de otras utilidades para hacer su sitio más seguro.

Website Defender
Website Defender es un plugin que le permite realizar un chequeo de seguridad de su sitio. Si se encuentra con algún problema, el mismo plugin le proporcionará recomendaciones sobre cómo solucionarlo.

5. Informe de los errores que encuentre. Si descubre errores y agujeros de seguridad, debe reportarlos a security@wordpress.org. Si usted encuentra estos en un plugin, repórtelo a plugins@wordpress.org. WordPress es un CMS de código abierto, lo que significa que tiene detrás una comunidad sólida que intentará ayudarle a solucionar estos problemas o corregir las vulnerabilidades.

6. Ni se le ocurra descargar y activar temas de WordPress gratuitos procedentes de fuentes no confiables. Es probable que, si proceden de forma gratuita desdes sitios freeware o Warez, podrían no ser demasiado fiables. Para estar seguro, utilice sólo temas libres descargados de WordPress.org.

Y no olvide lo básico

Al igual que con todo lo que hace en Internet, debe tener un mínimo de sentido común. Utilice las mejores contraseñas posibles, con caracteres especiales, para que sean más difíciles de descifrar. No utilice la misma contraseña en todas partes. Lea nuestras recomendaciones para crear contraseñas seguras.

Utilice sólo plugins y temas procedentes de fuentes de confianza.

Por último, no se deje seducir por una falsa sensación de seguridad. Acceder a WordPress puede ser muy difícil si no es un usuario autorizado, pero eso no significa que usted esté fuera de peligro. Ahora que sabe que nunca se está totalmente seguro, aplique estos consejos para una experiencia más segura para usted y para los usuarios de su web.

Redes sociales

You may also like ...

Logo WordPress

WordPress: 10 errores que deberías evitar

Añadir áreas para widgets y menús nuevos

15 magníficos temas WordPress responsivos gratis.

Logo WordPress

Las 10 cosas que debería hacer tras instalar WordPress

Logo WordPress

Cómo crear un blog con WordPress

Logo WordPress

¿Cómo crear un sitemap XML para WordPress?

Entradas relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.