Berto González

Mejorar la Seguridad WordPress es uno de los objetivos más perseguidos por todos los que nos dedicamos a trastear con WordPress, pero siento decirte que la seguridad 100% es imposible pero lo que nosotros perseguimos es acercarnos lo más posible a 100%

Estos tres errores son los que me encuentro en el 95% de las webs que veo y son a mi parecer básicos, hay muchos más pero vamos a centrarnos en estos 3.

WordPress no actualizado.

Cuando se lanza una nueva versión de WordPress no es solo para arreglar errores o añadir nuevas funcionalidades, también se hace para corregir los problemas de seguridad que se han ido detectando.

Tener una versión antigua de esta herramienta es como abrir una puerta a los usuarios maliciosos, ya que precisamente se aprovecharán de los fallos de seguridad conocidos para atacarnos.

Actualiza tu WordPress cada vez que veas una notificación de actualización en la administración; es muy sencillo y solo te llevará un minuto. Con esta sencilla tarea ya estarás mejorando la seguridad de tu WordPress.

Ahora mismo la versión de WordPress es 6.3.2, puedes consultar el aviso de Incibe aquí:

CONSEJO: Antes de actualizar asegúrate de que tienes una copia de seguridad completa en caso de que la actualización falle, te evitará un sofocón.

Ocultar la versión de WordPress

Cada versión de WordPress tiene una serie de vulnerabilidades conocidas que los usuarios maliciosos intentan aprovechar. Ocultar la versión de WordPress que estás utilizando hará que no sea tan fácil identificar esas vulnerabilidades.

La encargada de mostrar la versión de tu WordPress en tu web es la función wp_head(), que incluye una llamada a la función wp_generator().

Para ocultar esa información, tienes que incluir la siguiente línea en el archivo functions.php de tu WordPress:

remove_action(‘wp_head’, ‘wp_generator’);

.- accede a tu cuenta de cPanel -> Administrador de Archivos
.- accede a la carpeta make que encontraras en wp-content/themes/make
.- edita el Archivo functions.php
.- Añade lo siguiente después de la linea de código -> // Initial content width.

// eliminar version wordpress

remove_action(‘wp_head’, ‘wp_generator’);

Y listo ya no se podrá ver tu versión WordPress, una capa más de protección añadida.

Cambia la URL de acceso al panel de WordPress (wp-admin)

¿Por qué cambiar la URL de acceso a WordPress? Por una cuestión de seguridad. Si todas las webs creadas con WordPress tuviesen la misma url de acceso, por ejemplo dominio.com/wp-admin, todo el mundo podría acceder al formulario de inicio de sesión.

Por tanto, la personalización de esta url puede conseguir que no todos los usuarios puedan llegar a dicho formulario y la web estará más protegida frente a hackers y otros problemas de seguridad que pueden surgir.

Esto se puede hacer de dos formas modificando el archivo .htaccess o con plugin.Lo más recomendable es hacerlo con .htaccess por cuestiones de seguridad.

Modifica el acceso a WordPress desde .htaccess

Para modificar el acceso a WordPress, puedes hacerlo en el archivo .htaccess. Además, cuentas con la ventaja de que accediendo al archivo desde CPanel no necesitarás la antigua url. Para cambiar el acceso, debes escribir en el htaccess la siguiente línea de código:

RewriteRule ^nombre-acceso$ https://dominio.com/wp-admin.php [NC,L]

Después, sustituye wp-admin.php por el slug que quieras incorporar en tu url de acceso, guarda el archivo y vuelve a subirlo.

¡Ya podrás acceder a WordPress desde tu nueva url!

¿Qué pasa si se me olvida la nueva URL?

Es importante no olvidar la nueva url de acceso a WordPress, pero es posible que suceda. Por eso, hay una alternativa que puedes tomar en caso de que ocurra: acceder a WordPress desde cPanel, entrar en la configuración del plugin y comprobar cuál es la url de acceso.

tudominio.com/cpanel

Si no has cambiado la url desde un plugin, sino desde el archivo .htaccess, la manera de modificarlo es también entrar en el CPanel y comprobarlo dentro del propio archivo.

Es del todo recomendable modificar la url de acceso dentro de WordPress por una cuestión de seguridad. Por eso no se debe olvidar la nueva url, y deben tomarse todas las precauciones para ello.

Con Plugin

Para hacerlo con plugins, para este caso voy a mostrarte un plugin, llamado Protect WP Admin y que se limita a realizar el cambio de wp-login-php o de wp-admin por la palabra de ruta que tu quieras de manera que no sea intuitiva ni deducible, y además redirecciona con una redirección 301 a quienes invoquen https://tu-dominio/wp-login-php o https://tu-dominio/wp-admin hacia https://tu-dominio/, lo que sería la página principal de tu web (home) sin posibilidad de que vean el formulario de acceso al dashboard de WordPress.

El plugin no tiene mucho misterio y las configuraciones se militan a pedirte el nombre que tendrá el fragmento de URL que sustituirá a “wp-admin”. 

• Permite definir la URL de inicio de sesión, el tramo relativo a wp-admin.
• Escoger la imagen del formulario de inicio de sesión.
• Permite el acceso al dashboard utilizando ID (identificadores) múltiples, separados por comas.
• Restringe el acceso al dashboard a “invitados”.
• Establecer colores de fondo y de texto para el inicio de sesión.

Con este sencillo paso puedes conseguir que tu formulario de acceso al panel de administración de WordPress reduzca el impacto de peticiones y de esta manera disminuir también un poco el tráfico no deseado automatizado hacia tu web.

Conclusiones

Como puedes ver estos errores tan comunes son sencillos de solucionar y harán que tu WordPress no sea tan accesible. Ahora ya sabes lo que tienes que proteger, pero si te resulta complicado o se te hace bola puedes reservar una reunión aquí.

Si te preocupa la seguridad también puedes echarle un vistazo a este Post.

Sé por experiencia que la seguridad de tu sitio web wordpress puede ser un tema complicado y que puede resultar confuso en un mundo que está en constante cambio. Por eso, he creado una serie de post para ayudarte a proteger tu sitio web y reducir el riesgo de sufrir ataques. Es importante que sepas que la seguridad nunca es una solución que se configura y se olvida. ¡Es un proceso continuo!

Para hacer que tu sitio web sea seguro, tienes que trabajar como si fuera una cebolla. Sí, como lo oyes, una cebolla. ¿Por qué? Porque necesitas crear muchas capas de defensa que funcionan juntas para proteger tu sitio web. Así que, vamos a abordar la seguridad de tu sitio web con una estrategia de defensa en profundidad. ¡Vamos a ello!

Tener un sitio web seguro es tan vital para la presencia en línea de tu negocio como tener un hosting de sitio web. Si un sitio web es pirateado y bloqueado, por ejemplo, puede perder hasta el 98% de su tráfico. ¡¡¡Con lo que cuesta conseguir el tráfico orgánico!!!. 

No tener un sitio web seguro puede ser tan malo como no tener un sitio web o incluso peor y aunque pueda parecer exagerado, no tener un sitio web seguro puede tener consecuencias devastadoras, como demandas, multas y daños en tu reputación debido a violaciones de datos de clientes.

Pero… ¿Qué es la seguridad de tu sitio web?

La seguridad de tu sitio web es crucial para protegerlo de los ataques cibernéticos. Se trata de implementar medidas para evitar que piratas informáticos y estafadores puedan comprometer la integridad de tu sitio. 

Aunque tu web sea pequeña, no te exime de ser objetivo de los ciberdelincuentes. Incluso los sitios web más pequeños pueden ser valiosos para los hackers en sus diferentes objetivos, como la explotación de visitantes, el robo de información almacenada en el servidor, el abuso de recursos o el vandalismo puro.

Para que tu sitio web esté protegido, es importante que tengas una buena estrategia de seguridad. Esto significa que debes utilizar herramientas que cubran todo tu sitio web y estar al tanto de las amenazas que existen para poder defenderte de ellas. De esta forma, podrás estar tranquila sabiendo que tienes una defensa en profundidad y tu sitio web está seguro.

La seguridad de tu sitio web se basa en tres partes: Confidencialidad, Integridad y Disponibilidad.

Confidencialidad

La confidencialidad se refiere al control de acceso a la información para garantizar que aquellos que no deberían tener acceso se mantengan fuera. Esto se puede hacer con contraseñas, nombres de usuario y otros componentes de control de acceso.

Integridad

La integridad garantiza que la información que reciben los usuarios finales sea precisa y no sea alterada por nadie que no sea el propietario del sitio. Esto se hace a menudo con cifrado, como los certificados SSL que garantizan que los datos en tránsito estén cifrados.

Disponibilidad

La disponibilidad garantiza que se pueda acceder a la información cuando sea necesario. La amenaza más común para la disponibilidad del sitio web es un ataque de denegación de servicio distribuido o un  ataque DDoS .

Algunas vulnerabilidades y amenazas más comunes a las que tu sitio web se puede enfrentar:

---

• Inyecciones SQL: Los ataques de inyección SQL son un tipo de ataque informático que puede afectar a los sitios web. Consisten en que un atacante inserta código malicioso en una consulta SQL que es vulnerable. Así, cuando el sitio web envía esa consulta a la base de datos, el atacante puede obtener información que no debería tener acceso. Además, también puede modificar o agregar información maliciosa a la base de datos. Por eso, es importante tener medidas de seguridad para prevenir este tipo de ataques.

---

• Ataques de secuencias de comandos entre sitios (XSS): Las páginas web pueden sufrir un ataque llamado XSS, donde alguien malintencionado puede insertar código malicioso que afecte la forma en que se muestra la página. Esto puede llevar a que alguien tome control de la página y haga cambios no autorizados. Es importante estar alerta y tomar medidas de seguridad para evitar estos ataques.

---

• Ataques de fuerza bruta de credenciales: Si tienes un sitio web, es importante que sepas que hay personas que intentan acceder a él de forma ilegal. Una forma común en la que lo hacen es probando diferentes combinaciones de usuario y contraseña hasta que encuentran la correcta. Una vez que lo logran, pueden hacer muchas cosas malas, como enviar correos no deseados, robar información de tarjetas de crédito o incluso usar tu sitio para minar criptomonedas. Por eso, es muy importante que tengas medidas de seguridad para evitar que esto suceda.

---

• Infecciones y ataques de malware. Las infecciones y ataques malware en sitios web son como enfermedades que pueden afectar a una página web. El malware es un tipo de software malicioso que se introduce en la página web y puede causar daños, como robo de información o la instalación de virus en los dispositivos de los usuarios que visitan la página.

---

• Y ataques de denegación de servicio distribuido (DDoS).Es un tipo de ataque por Internet que busca dañar o bloquear un sitio web. Lo hacen inundando la red, el servidor o la aplicación con tráfico falso para que todo se vuelva tan lento que no puedas usarlo. Es una amenaza muy seria para la seguridad de su página. Incluso un poco de tráfico falso puede ser suficiente para que el ataque tenga éxito si tu página es vulnerable.

---

---

Recuerda que es fundamental estar al tanto de estas amenazas y vulnerabilidades para proteger adecuadamente tu sitio web y preservar la seguridad de tu negocio en línea. Sí quieres que te informe de las vulnerabilidades, tips de seguridad y mucha info interesante suscríbete a mi blog.