Por si eres usuario de WordPress y no lo sabias, tengo una mala noticia para darte, al mismo tiempo que WordPress es la plataforma más utilizada a nivel mundial tengo que decirte que es la más hackeada, por eso en este nuevo articulo intentare explicarte como puedes aumentar la seguridad de tu WordPress.
Para evitar hackeos en WordPress hay primero que conocer los métodos utilizados por los Hackers (yo no soy un experto en hacking) pero haciendo una búsqueda por internet encontré una gran cantidad de aspectos que tienen en cuenta los hackers a la hora de hackear una web creada con WordPress.
Contraseña Segura
Si bien puede ser un punto muy obvio, creeme que me encuentro muchas veces con contraseñas del tipo 1234, o el propio nombre de la persona. La mayoria de las personas optan por la no utilización de contraseñas seguras por la cuestión de no poder acordarse luego de estas.
Primero déjame aclararte que es o cuanto una contraseña es segura. Para que una contraseña se considere segura tiene que cumplir los siguientes requisitos:
- Tener mayusculas
- Tener minisculas
- Tener numeros
- Tener simbolos
- Longitud mayor a 8 caracteres (12 seria ideal)
Bien! ahora despues de leer esto, la pregunta es ¿y como hago para recordarla? Pues el truco esta en generar una palabra con este tipo de símbolos por ejemplo:
N1Col@s_3891 (mi nombre + mi año de nacimiento invertido)
Como pueden ver esta contraseña incluye todo lo anteriormente mencionado, lo unico es que he cambiado la O por un Cero, la A por un @, la i por un 1. Asi que no tienes excusas para generar una contraseña segura.
El nombre de Usuario
Si realizaste una instalación automatica de WordPress y dejaste el usuario por defecto o se te ha ocurrido la genial idea de utilizar nombres de usuarios como (admin, administrador) pues muy bien! ya mismo estas ingresando a tu WordPress y creas un nuevo usuario, con un nombre de usuario complejo, ah! y nada de usar tu nombre.
Uno de las principales formas de ataque en WordPress es a través de la fuerza bruta, es decir intentar reiteradas veces combinaciones de usuarios y contraseña, si bien esta seria como la forma más basica de hackeo (la que alguna vez hemos intentado todos, ja!) Creerme que para los hackers es la mas efectiva muchas veces.
El Hosting
Esta claro que este es uno de los factores mas ponderantes dentro de esta larga lista, muchas veces me consultan por hosting gratuitos para WordPress y ha decir verdad, siempre respondo del mismo modo ¿cuan importante es tu proyecto?
Mi recomendación es que utilices un hosting profesional por varias razones, entre ellas porque tendrás alguien a quien consultarle o reclarmarle en caso de que tu servidor haya sido hackeado.
Algunos los hosting profesionales que suelo utilizar son:
No usar el admin
¿Que? si! efectivamente lo que acabes de leer y lo que yo no hago, ja! si tienes un blog donde publicas contenido de forma periódica, otras de las cuestiones que puede ayudarte es no utilizar el administrador para publicar tus artículos.
El motivo de esta recomendación es porque WordPress por defecto en la ruta de enlace al perfil del autor del articulo muestra el Username. Al no utilizar el usuario administrador para publicar contenido de alguna manera evitamos que puedan tener el nombre de usuario del administrador del sitio web.
Cambiar la ruta del wp-admin
Todos los que trabajamos con WordPress sabemos que en cualquier sitio creado con WordPress escribimos al final de la url /wp-admin ya podremos ingresar al formulario de acceso al panel de administración.
Cambiar la ruta de acceso al panel de administración es una barrera más que estamos poniendo de cara a los hackers, para realizar esta acción puedes utilizare plugins como WPS hide login. Si quieres también puedes ver el siguiente video que hice hace tiempo donde explico como hacer esto.
Limitar los intentos de login
En caso de que quieran intentar un hackeo por fuerza bruta, lo que podemos hacer es limitar los intentos de login, para esto puedes utilizar el plugin WP limit login Attemps que permite 5 intentos de login y bloquea la posibilidad al usuario de seguir intentándolo durante 10 minutos.
Actualizaciones
Muchos de los hackeos que se realizan a sitios web creados con WordPress, son a través de vulnerabilidades en WordPress, Temas o plugins, por esta misma razón es muy importante que tengas tu sitio web actualizado. En wpvulndb.com puedes ver las ultimas vulnerabilidades en WordPress, Plugins y temas.
Cambiar el prefijo de la base de datos
Como bien sabemos que WordPress utiliza mysql para la administración de la base de datos, el prefijo por defecto de las tablas es wp_, una buena opción es modificar el prefijo de las tablas, siempre con el objetivo de brindar menos información acerca de nuestro sitio web. Para modificar el prefijo de las tablas puedes utilizar el plugin Change Table Prefix.
Desconexion Automática para Usuarios Inactivos
Ya sabemos que WordPress utiliza cookies de sessión, lo que de alguna manera nos facilita ya que no tenemos que estar logeandonos cada vez que nos conectamos a nuestro panel de administración. Si bien esto resulta cómodo, puede que si nos conectamos en otro sitio que no sea nuestro ordenador de escritorio, podemos correr el riesgo de dejar nuestra sesión abierta y que cualquier persona pueda ingresar en nuestro panel de administración.
Para evitar este tipo de conflictos podemos utilizar el plugin Idle User Logout con el cual podemos decir a partir de cuantos segundos queremos que WordPress cierre de forma automática nuestra sesión.
Ocultar carpeta wp-
Saber que un sitio web esta creado con WordPress es tan sencillo como ver el codigo fuente del sitio web, donde podremos encontrar una estructura de carpetas del tipo wp- (wp-content) es la carpeta donde se alojan los temas, plugins, imagenes, etc.
Para modificar estas rutas puedes utilizar el plugin Hide My WP, el cual te ayuda a ocultar por completo que tu sitio web ha sido creado con WordPress.
Escanea tu Sitio Web
Intenta realizar escaneos periódicos (al menos una vez al mes) en busca de malware. El malware es un código malicioso, que puede encontrarse en plugins o temas.
Para esto puedes utilizar plugins como:
Suites de Seguridad
Como has visto son muchos los plugins que puedes utilizar para mejorar la seguridad de tu WordPress, pero también puedes utilizar Wordfence Security, que tiene muchas de las funcionalidades anteriormente mencionadas en esta entrada.
Conclusión
Para terminar quiero que tengas en cuenta que es imposible conseguir una seguridad del 100% en tu sitio web, lo que podemos hacer es minimizar el riesgo ser hackeados, es importante que tengas esto en cuenta si trabajas como webmaster ya que si algo pasa en un sitio web seras el primero al que le sonara el teléfono.
