trucos-y-plugins-seguridad-wordpress

Plugins y trucos de seguridad WordPress

WordPress es uno de los gestores de contenido más seguros pero se vuelve vulnerable cuando los webmasters comienzan a instalar plugins que tienen agujeros de seguridad.

En este artículo te vamos a enseñar cómo puedes blindar tu WordPress. 

Te vamos a mostrar dos maneras de hacerlo: 

  • De una manera manual, solo recomendada para usuarios más avanzados.
  • Con un solo plugin más avanzado, pero que consume más recursos y espacio. 

Antes de entrar a tratar estas dos maneras diferentes de proteger WordPress, te vamos a dar unos consejos básicos que cualquier usuario debería seguir para no ser carne de cañón de hackers.

Recomendaciones básicas de seguridad para WordPress

1) Eliminar el usuario admin que tiene el identificador número 

Si no has entendido este punto, no te preocupes que nosotros te lo explicamos.

Uno de los peores errores en seguridad que puede cometer una persona que tiene un WordPress es ponerse el nombre de “Admin” como nombre de usuario.

Si en el instalador de WordPress pones como nombre de usuario “Admin”, se le asignará por defecto el identificador (id) número 1.

Si tu id=1 es Admin, los hackers pueden entrar en tu WordPress “fácilmente”.

Nosotros recomendamos poner como nombre de usuario “Admin” en el instalador de WordPress para que se le asigne el id=1. Sin embargo, una vez dentro del escritorio de WordPress, creamos un nuevo usuario que será el definitivo. 

Recomendamos poner un nombre compuesto, por ejemplo: Marta Casas. A continuación, le otorgamos permisos de administrador.

Después cierras sesión y vuelves a entrar a tu WordPress pero esta vez con tu nuevo nombre de usuario (Marta Casas). A continuación, vas a la sección de “Usuarios” de tu WordPress y eliminas el usuario Admin.

Con solo esta sencilla acción, tu WordPress es mucho menos vulnerable que el resto de webs que puedas ver en Internet.

Tendrás un nombre de usuario compuesto y con un identificador que no es el número 1.

2) Hacer una contraseña fuerte para tu usuario de WordPress.

Una contraseña fuerte es:

  • Larga.
  • Incluye letras y números.
  • Incluye caracteres especiales.

El propio generador de contraseñas de WordPress proporciona contraseñas muy seguras. Puedes generar una, apuntarla y guardar los cambios.

contraseña-segura-wordpress

Trucos de seguridad WordPress para usuarios avanzados

Trabajar la seguridad en WordPress comienza antes de instalar todos los archivos que incluye este CMS (gestor de contenidos).


1) Personalizar el archivo wp-config.php

WordPress tiene muchos archivos que son necesarios para el correcto funcionamiento de una web. Uno de estos archivos es wp-config.php, uno de los más importantes a configurar para que todo funcione bien. 

Este archivo contiene la contraseña y demás requisitos para conectarnos a la Base de Datos. También tiene ciertos ajustes de seguridad que podemos editar para que nuestro WordPress sea más seguro.

Javier Casares es un administrador de sistemas experto en WordPress, creador de la web wp-config.pro.

Tiene un modelo de archivo wp-config que contiene todo lo necesario para hacer nuestro WordPress más seguro y más optimizado a la hora de consumir recursos.

Solo tienes que copiarlo y sustituirlo por el que viene por defecto en la instalación de WordPress. Lo único que tienes que personalizar es el nombre, usuario y contraseña de la Base de Datos.

Cada vez que se recarga su web, se genera un wp-config diferente que incorpora, entre otras cosas:

– Un prefijo personalizado de la tabla de la Base de Datos.

En WordPress, todos los prefijos de las tablas de Base de Datos empiezan por “wp_”, y eso lo saben los hackers.

En su wp-config ese prefijo es, por ejemplo, ‘wp0muul6_’. Evidentemente no siempre es el mismo. Cada vez que recargas su web, te proporciona un prefijo diferente.

– Claves extensas de seguridad.

WordPress tiene un sistema de seguridad llamado SALT. 

Son datos aleatorios que cifran las credenciales de aspectos sensibles para la seguridad de WordPress como son los datos necesarios para el inicio de la sesión, por ejemplo.

Por defecto, el wp-config.pgp siempre lleva en las SALTs esta frase “pon aquí tu frase aleatoria”.

El problema está en que el 98 % de las personas no modifica esa frase.

El wp-config que genera la web de Javier Casares te ofrece una cadena de números y caracteres extensos en esas SALTs.

– Deshabilita las actualizaciones automáticas del Core de WordPress.

Las grandes actualizaciones de WordPress siempre son delicadas pues pueden generar incompatibilidades con algún plugin que tengamos instalado. 

Es mejor hacer esas actualizaciones a mano, es decir, hacer clic en el botón de actualizar cuando estemos presentes.

2) Deshabilitar el xmlrpc.php

Muchos hackers han utilizado este archivo de WordPress para entrar en la instalación y modificar los archivos a su antojo.

Este archivo conecta, mediante una API, tu WordPress con otras aplicaciones. No se suele usar, más allá de recibir pingbacks y trackbacks, es decir, avisarte cuando alguien enlaza un post tuyo.

Sin embargo, es una entrada de malware y la causa de muchos ataques DDOS que ralentizan tu WordPress. No merece la pena tenerlo activo.

Lo que tenemos que hacer para desactivarlo es renombrarlo en el sistema de ficheros de WordPress. Podemos acceder a él desde el programa Filezilla, un gestor de clientes FTP para conectarnos con los ficheros que se han instalado en nuestro hosting.

truco-seguridad-wordpress

En este caso, lo que hemos hecho ha sido añadirle el número 1. Con eso ya quedaría desactivado, pero no es suficiente.

A continuación, tenemos que editar el archivo wp-config.php (ya os dijimos que este archivo era muy importante) y añadir el siguiente código al final del mismo:

add_filter(‘xmlrpc_enabled’, ‘__return_false’);

Para acabar, debemos hacer una modificación en el archivo functions.php y añadir el siguiente código al final del mismo:

add_filter( ‘xmlrpc_methods’, function( $methods ) {

   unset( $methods[‘pingback.ping’] );

   return $methods;

} );

Recuerda hacer una copia de seguridad de tu WordPress antes de editar estos archivos.

3) Cambiar los ajustes predefinidos en los comentarios de WordPress.

Ahora que hemos desactivado los PingBacks y Trackbacks, no tiene sentido mantenerlos activos en los ajustes de comentarios de nuestro WordPress. Vamos a desactivarlos:

ajustes-comentarios-seguridad-wordpress

Plugins de seguridad adicionales a estas configuraciones manuales

Habiendo hecho estas configuraciones manuales, solo necesitaríamos añadir dos plugins muy sencillos y ligeros para acabar de blindar nuestro WordPress:


Plugin Limit Login Attempts Reloaded


Este plugin lo puedes descargar aquí. Lo que hace es limitar el número de intentos de inicio de sesión en nuestro WordPress para protegernos de los ataques de fuerza bruta.

Uno de los ataques más comunes a WordPress es intentar acceder al administrador adivinando la contraseña. 

Se producen miles de peticiones a la Base de Datos porque se están comprobando miles de combinaciones de contraseñas. Lo que hace esto es ralentizar nuestro WordPress.


Plugin WPS Hide Login

Lo puedes descargar aquí. Este plugin te permite personalizar la url de acceso a nuestro WordPress, que por defecto es tuweb.com/wp-admin.

Una vez instalado, puedes ir a “Ajustes” – “Enlaces permanentes” y añadir lo que quieras. Por ejemplo: tuweb.com/acceder-web 

Es mejor que la ruta de acceso conste de dos palabras para fortalecer la seguridad.

Instalar el mejor plugin de seguridad para usuarios no avanzados

wordfence-plugin-seguridad-wordpress

Para aquellos usuarios que no se ven capaces de realizar todas las acciones que hemos comentado anteriormente, existe un plugin llamado iThemes Security que te lo puedes descargar aquí.

Este plugin realiza todas las recomendaciones que hemos comentado y añade algunas funcionalidades extra de seguridad.

Este plugin te protege de los ataques de fuerza bruta, te permite cambiar el prefijo de la tabla de la base de datos, desactivar el xmlrcp.php, cambiar las SALTs, personalizar la url de acceso y muchas acciones más.

La contrapartida es que consume más recursos y espacio en tu instalación de WordPress, por eso recomendamos hacer las acciones manuales.

Sin embargo, es un plugin muy completo y optimizado. Muy recomendable para aquellas personas que no se quieran complicar la vida y quieran tener su instalación de WordPress más segura.


Wordfence: el plugin de seguridad alternativo al iThemes Security

wordfence-plugin-seguridad-wordpress

Este es otro plugin de seguridad que tiene muchas instalaciones y lo puedes descargar aquí.

Este no me gusta tanto porque ensucia bastante las tablas de la Base de Datos pero cumple a la perfección con su función. 

Sin embargo, me parece más completo, ligero y mejor optimizado el plugin de iThemes Security.

Después de leer este artículo ya conoces algunos de los trucos más importantes para proteger tu blog de posibles ataques. En Doowebs, somos una agencia de diseño web en valencia y nos encargamos de proteger tu blog con los trucos más avanzados.