El exceso de medidas de seguridad aplicadas en una instalación de WordPress en muchas ocasiones acaban convirtiéndose en un dolor de cabeza para ti, pudiendo llegar a bloquearte cuando tratas de realizar tareas en la web.
Episodio 6 de Seguridad en WordPress para Principiantes.
Hoy te hago una pregunta… ¿Sabes cual el es el mejor plugin de seguridad?
El mejor plugin de Seguridad
Existen muchos plugins para hardenizar o asegurar una instalación de WordPress desde el lado del usuario, es decir, mediante la instalación de Plugins en el dashboard.
Esta es la practica más común que gran parte de usuarios utiliza para mejorar la seguridad de su web, protegerla contra intento de accesos a través del formulario de login, o para evitar la inyección de spam en formularios no protegidos.
Pero ¿realmente la adición de plugins de seguridad es la solución definitiva al problema?
Si es cierto que hay algunas medidas que tu, desde el dashboard de WordPress o mediante el archivo .htaccess de la instalación, puedes llevar a cabo para mejorar algunos puntos que podrían afectar a su seguridad, y que son:
- Eliminar la entrada ¡Hola mundo! que se incluye por defecto en WordPress.
- Eliminar los Plugins instalados que estén desactivados y no necesites.
- Eliminar los Temas instalados que estén desactivados y no necesites.
- Desactivar los comentarios si tu web no los va a utilizar.
- Crear un buen archivo robots.txt que evite el indexado de archivos sensibles.
Por ejemplo, en el caso de los plugins, mantenerlos actualizados evita muchas sorpresas.
Sin ir más lejos hace unos días la versión 3.4.5 de WooCommerce (plugin para la gestión de tiendas online en WordPress) se vio afectado por una serie de problemas que permitían a los gestores (rol inferior al de administradores) de la tienda superar sus capacidades y realizar acciones maliciosas mediante la explotación de una vulnerabilidad de Inyección de Objetos PHP Autenticada (Authenticated Object Injection), que naturalmente ha sido corregida en versiones posteriores.
El desconocimiento de este tipo de vulnerabilidades por parte de usuarios que dedican su tiempo y esfuerzos a gestionar su tienda y las ventas, como es lógico, los aleja de esta información, importante para garantizar la seguridad de sus webs, por lo que prestar atención a las actualizaciones es tarea importante de un administrador de webs WordPress.
El resto de acciones encaminadas a fortalecer tu instalación de WordPress no necesariamente debes implementarlas añadiendo más carga al sitio mediante el uso de plugins.
Un buen Hosting, contratado con un proveedor que te garantice medidas de seguridad a varios niveles, te va a permitir descansar aspectos de la seguridad que son muy importantes y mucho más efectivos cuando se aplican desde el servidor y no desde la propia web.
Algunas de las medidas que un buen proveedor de Hostig aplicará para segurizar las webs alojadas:
- Auditorías de seguridad diarias.
- IPTables personalizados (Firewall a nivel de paquetes).
- Detección y bloqueos de IPs al detectar múltiples logins incorrectos.
- Detección y bloqueos de IPs al detectar ataques de fuerza bruta.
- Detección y bloqueos de IPs al detectar el escaneo de puertos.
- Detección y bloqueos de IPs al detectar ataques Denegación de Servicio.
- Comprobación de «logs» para detectar patrones maliciosos.
- Detección de Rootkits.
- Contra-medidas contra el IpSpoofing.
- Contra-medidas contra el Envenenamiento de DNS.
- Comprobación de Hash MD5 de archivos del sistema.
- Detección automática de exploits, troyanos y backdoors.
- Escaneo diario con CSX para detectar exploits, troyanos, backdoors, malware o shells.
- Análisis de archivos con ClamAV o herramientas similares.
…. la lista podría ser más larga, pero creo que te haces una idea.
Es cierto que puede haber Plugins que hagan lo mismo o parecido, pero también es cierto que la mayoría acaban engordando los registros de tus bases de datos, realizando numerosas peticiones externas (requets) y en ocasiones dificultando los accesos al dashboard cuando se utilizan plugins para ofuscar el acceso a /wp-admin o /wp-login.php por ejemplo.
[piopialo vcboxed=»1″]El mejor plugin de seguridad es contratar un buen Hosting que se ocupe de asegurar tus webs, correos y demás servicios sin que tu necesites implementar capas adicionales desde tu web.#wpseg[/piopialo]
Contra-medidas aplicables sin Plugins
Tu también puedes aplicar ciertas medidas para proteger tus instalaciones de WordPress sin necesidad de recurrir a plugins.
Te cito algunas de ellas:
- Proteger wp-admin o wp-login.php usando 2FA (segundos factores de autorización) y así evitar plugins como «Hide Login Area», «WPS Hide Login» o similares.
- Contratar un Hosting que aplique medidas específicas para evitar ataques de fuerza bruta contra formularios de acceso en lugar de recurrir a plugins que implementen esta protección.
- Establecer los permisos correctos para tus carpetas (755) y archivos (644) desde tu Panel de Hosting o utilizando herramientas de revisión y cambio masivo de permisos sin tener que recurrir a plugins para protegerlos cuando tienen permisos incorrectos.
- Akismet ¡es bueno! y quien te diga lo contrario es que no lo conoce o no lo ha usado lo suficiente. Protege tu sitio contra SPAM en formularios de comentarios usando las funcionalidades que WordPress te ofrece de forma nativa, no lo recargues con plugins de terceros sin necesidad.
Hay muchas otras, pero para no extenderme más te invito a que leas otros contenidos en este sitio web, o en otros que puedes encontrar en Internet y que documentan mucho mejor que yo estas cuestiones.
Conclusiones
El equilibrio entre cantidad y calidad de las medidas de seguridad aplicadas es importante cuando el exceso de medidas se traduce en una mayor lentitud en la carga de la web.
Si además de todo lo contado utilizas una VPN (Red Privada Virtual) para acceder a tus webs WordPress, te olvidas de usar FTP y utilizas el «Administrador de Archivos» de tu Panel de Hosting, e implementas SSL mediante Certificados Gratuitos como Let’s Encrypt, estarás añadiendo capas adicionales de seguridad perimetral, externa y todas ellas orientadas a evitar que tus webs se vean afectadas por malvados planes de villanos contra tus webs.
[piopialo vcboxed=»1″]Tu feedback y comentarios son el combustible que alimenta estos #PODCAST de Seguridad en #WordPress para Principiantes #wpseg[/piopialo]
Si te surgen dudas con los pasos a seguir para añadir seguridad a tu WordPress ¡pregúntame! estaré encantado de responderte.
Gracias por haberme acompañado nuevamente en esta breve pero intensa aventura.
Recordarte que este PODCAST lo puedes escuchar desde tu dispositivo en iTunes o iVOOX .
Nos citamos en el próximo PODCAST dedicado a WordPress y su seguridad!!
