Marketing digital para gente como uno

Episodio 150 | Tu web con WordPress: ajustes de seguridad.


Suscribite para escuchar Marketing digital para gente como uno en: IVOOX | Spotify | Stitcher | Google podcast | Apple podcast | Audiobip

Continuando con el ciclo “Creando tu web con WordPress” en este episodio te traigo una lista de ajustes esenciales para fortalecer la seguridad de tu página web. Plugins, snippets de código y consejos para que tu negocio online esté más seguro.

Básicos sobre seguridad en WordPress.

Como lo señalo con frecuencia dispongo de menos de 10 minutos por episodio.

A consecuencia de ello si los temas son complejos o extensos enumero y explico lo más relevante y dejo para una entrega posterior el desarrollo de cada uno de los puntos tratados.

La seguridad en tu WordPress es uno de esos tópicos con niveles y ramificaciones prácticamente inagotables.

Hoy te traigo una lista de elementos básicos, en posteriores episodios iré desmenuzando cada uno.

Más vale prevenir que curar.

Sabemos que WordPress es la herramienta más utilizada para hacer páginas web en el mundo.

Más del 30 % de los sitios web la usan. Su popularidad hace que sea blanco de ataques aunque el software por sí es muy seguro.

Al tratarse de un software de código abierto y con una gran comunidad cualquier vulnerabilidad se hace pública. Esto lo aprovechan ciertos “malvivientes digitales” para causar estragos en instalaciones que dejan huecos de seguridad.

Para cerrar esas puertas a posibles atacantes debés cumplir con una serie de requisitos pero principalmente prevenir, adelantarte y configurar los elementos de tu sitio para elevar su seguridad.

Aquí un par de puntos básicos pero imprescindibles:

  • El core SIEMPRE actualizado (con su correspondiente backups y pruebas si es una web en producción).
  • Los plugins siempre actualizados (salvo excepciones de plugins que no se actualizan porque se ocupan de cosas sencillas) Cuando ocurra consultar a la comunidad.
  • Los themes o child themes si corresponde también deben estar al día.
  • Bajo ninguna circunstancia descargues plugins o themes premium de manera gratuita en sitios sospechosos o en intercambio en grupos de redes sociales, nunca sabes si te están metiendo el perro.
  • No usar “Admin” como usuario administrador.
  • Evitar contraseñas débiles o predecibles como fecha de cumpleaños etc.
  • Si instalas y luego desistalas temas mejor volcar todo a una nueva instalación. Del mismo modo eliminar plugins que no uses.
  • No habilitar el registro de usuarios a menos que sea necesario.
  • Instalar en tu web certificado de seguridad SSL no solo por seguridad sino también por Google.

Las últimas versiones de WordPress traen una herramienta de diagnostico que te dice el estado de salud del sitio. Te recomiendo hacer el análisis y modificar lo que sea necesario.

Otras buenas prácticas para aumentar la seguridad de tu web con WordPress.

Cambiar la url de acceso al panel de control.

Cuando ponemos la url de nuestra web seguida de wp-admin nos aparece el formulario de acceso al dashboard de nuestro sito.

Esto es conocido por todos, principalmente por los hackers. Te recomiendo entonces utilizar un plugin como WPS Hide Login, Rename WP Login o similar. Podés buscar en el repositorio custom login url .

Modificar el prefijo de la base de datos.

Toda instalación automática de WordPress utiliza el prefijo wp_ en la base de datos de nuestra web. Esto es aconsejable hacerlo al momento de instalar WordPress, si nos olvidamos no hay problemas pues dicha modificación se puede realizar sobre la base de datos.

Limitar los intentos de inicio de sesión.

Es un clásico cuando los bots u otros usuarios intentan ingresar a nuestra web probando distintos usuarios y contraseñas. Para evitarlo te sugiero utilizar un plugin que limite dichos intentos. Otra opción que tenés es instalar plugins al estilo IThemes security WordFence o Sucury que además de esta funcionalidad aportan muchas otras en materia de seguridad.

Evitar el spam.

Además de ser molesto también puede traerte dolores de cabeza y riesgos a la seguridad de tu wordpress. Es buena práctica entonces configurar tu web mediante algún plugin como Akismet  para proteger tu WordPress del spam.

Hacer copias de seguridad.

Hacer con una frecuencia determinada y almacenar en un sitio seguro el backup de tu sitio web es uno de los hábitos más saludables a seguir.

Nunca sabemos cuando vamos a necesitar esa copia de la web. Existen muchas maneras de hacerlo, desde el propio hosting o utilizando plugins como Duplicator o All in one WP Migration.

En breve haré un episodio hablando puntualmente de estos dos plugins.

Restringir acceso al escritorio a IPs no autorizadas.

En los casos en los que trabajes como yo desde mi casa es buena idea restringir el acceso al panel de control de tu wordpress a toda dirección IP que no sea la tuya.

Esto impide que cualquier “picaron” pueda hacerse con el dashboard de tu web. ¡Cuidado! Si tu sitio tiene varios usuarios que generan contenido pues de hacer esto no podrán ingresar.

Bloqueo por geolocalización o IPs.

En este caso se trata de bloquear directamente el acceso a tu web desde ciertas direcciones IP o ciertos países.

Si con frecuencia tu plugin de seguridad te avisa que hubo intentos fallidos de acceso a tu web desde cierto país que no te interesa, como por ejemplo Rusia, Ucrania o Estados Unidos podés bloquear a nivel de país con su código (country code: RU (Rusia), NL (Holanda), SG (Singapur), CN (china), etc.

Yo utilizo IP Geo Block y varios más en el repositorio oficial de WordPress.

Permisos adecuados para archivos y carpetas.

Nuestros archivos y las carpetas que son parte de nuestra instalación de WordPress tienen definidos ciertos atributos que permiten que los mismos sean leídos, ejecutados o modificados.

Se expresan a partir de números, los más frecuentes son:

  • Valor 777: No hay restricciones. Los archivos o carpetas pueden leerse, modificarse y escribirse.
  • Valor 644: El propietario puede leer y escribir el archivo, los demás solo pueden leerlo.
  • Valor 755: El propietario puede leer, escribir y ejecutar el archivo. Los demás leerlo y ejecutarlo.
  • Valor 600: El propietario puede leer y escribir el archivo. Los demás no.

A continuación te dejo una tabla en la que se muestran los permisos que deberían tener los archivos de tu instalación de WordPress.

Evitar instalación de plugins y edición de archivos.

No es buena práctica editar el código de los themes o plugins desde el editor que se encuentra en el panel de control de WordPress. Siempre es mejor hacer una copia y ver las modificaciones en una instancia de pruebas.

Si la web es para un cliente mayor razón entonces para bloquear esa posibilidad en nuestro archivo de funciones on en functions php ponemos

define(‘DISALLOW_FILE_EDIT’, true);

De modo similar si queremos evitar que se instalen plugins desde el dashboard ponemos.

define(‘DISALLOW_FILE_MODS’,true);

Ocultar la versión de tu WordPress.

WordPress muestra en el código su versión. No es algo de extrema gravedad pero como sabemos en cuestiones de seguridad cuanta menos información le aportemos a quienes buscan hacer daño es mejor.

Con este código podés ocultar la versión de tu WordPress.

function version_wp() {
return '';
}
add_filter('the_generator', 'version_wp');

Lo podés incluir en functions.php o mejor como te lo indique en otro episodio en tu propio archivo de funciones.

Borrar los archivos innecesarios en la raíz de tu sitio.

Como en el caso anterior cuanto menos pistas les demos a los eventuales atacantes de nuestra web mejor será.

Por lo tanto archivos como readme.html, license.txt, o install.php deben ser eliminados.

En conclusión.

El tiempo que puedas invertir en todo lo concerniente a la seguridad de tu WordPress es un tiempo excelentemente invertido.

Estos son algunos puntos básicos, hay mucho más para aprender e investigar. En próximos episodios voy a tratar con mayor detalle algunos de los elementos de los que hablé hoy. ¡Te espero!

Enlaces.

Te comparto los episodios anteriores de este ciclo “Tu página web con WordPress” para que amplies tu base de conocimiento con la esperanza de que te sirvan para comenzar a trabajar con este genial software.

Episodio 75 | Cómo hacer tu primera página web con WordPress.

Episodio 85 | Creando tu web con wordpress #1 hosting y dominio.

Episodio 90 | Creando tu web con WordPress: Instalación.

Episodio 105 | Creando tu web con WordPress: configuración inicial.

Episodio 130 | Creando tu web con WordPress: plugins y plantillas.

Episodio 140 | Tu web con WordPress: estructura y contenidos.

Contacto.

Espero que este episodio haya sido de tu agrado. Te dejo el formulario de contacto para que me hagas llegar tus comentario, dudas o sugerencias. Al toque te voy a responder.

  • Este campo es un campo de validación y debe quedar sin cambios.


1
¿Alguna duda, consulta? ¡Mandame un wasap :)!
Powered by