Seguridad WordPress


    • Ataques frecuentes en WordPress
    • Medidas para combatir ataques a WordPress
    • Plugins de seguridad de WordPress

Todos los temas de un vistazo


Ataques más frecuentes a WordPress

¿Quieres mejorar la seguridad de tu WordPress? Antes de empezar a “blindar” tu página de WordPress de amenazas externas, necesitas conocer cuáles son los ataques más frecuentes y aprender a identificar los fallos de seguridad.

Ataques de fuerza bruta

Para acceder a tu blog, necesitas un nombre de usuario y una contraseña. En un ataque de fuerza bruta se prueban combinaciones de contraseñas, junto con usuarios que por defecto suelen estar en WordPress, como por ejemplo “admin”. Existen ataques de fuerza bruta manuales y automáticos. En los automáticos, los responsables de estos ataques son bots (programas informáticos que recorren Internet) o redes zombie (ordenadores infectados con virus o gusanos que son controlados por un hacker).

Vulnerabilidades XSS, MySQL y fallos en código php

La tecnología que se usa para programar WordPress no es inexpugnable y pueden existir fallos y agujeros de seguridad en archivos específicos como wp-admin, wp-config y wp-includes, en bases de datos, etc.

Spam SEO

Existen bots que se encargan de llenar tus entradas de comentarios con enlaces a páginas fraudulentas para posicionarlas, mientras que tu página puede ser penalizada por Google.

Ataques de Psicología Social

Normalmente, suelen llegar en forma de emails que informan de que se ha detectado un problema con la cuenta y nos piden que mandemos nuestros datos de acceso.

Ataques DDoS o ataques de denegación de servicio

En un ataque DDoS se envían multitud de peticiones simultáneas al servidor con el objetivo de inhabilitarlo.


Cómo mejorar la seguridad en WordPress- Buenas prácticas

Actualización

Es muy importante que dispongamos siempre de una versión actualizada tanto de WordPress, como de los plugins y los temas que tenemos instalados en nuestra página web.

Copias de seguridad

Si dispones de un buen hosting como el de STRATO, puedes realizar copias de seguridad periódicas de tu página web, y de este modo, podrás restaurar todo tu contenido en pocos minutos en caso de que sea necesario.

Elige un buen hosting

Escoger un buen hosting es fundamental para la seguridad de tu web. El servicio de alojamiento web que elijas debe estar preparado para evitar cualquier ataque de seguridad, para ello deben contar con instalaciones apropiadas, equipos de protección contra incendio y llevar a cabo tareas de mantenimiento periódicas de sus instalaciones eléctricas. Asimismo, el servicio de hosting que elijas debe realizar copias de seguridad de manera periódica, contar con potentes antivirus, cortafuegos y encriptación de datos (SSL), entre otras medidas de seguridad.

Para STRATO la seguridad de los datos de sus clientes es una prioridad. Nuestros centros de datos de alto rendimiento están certificados por un organismo externo TÜV según la normativa DIN ISO 27001. Este estándar engloba numerosas medidas de seguridad en la propia infraestructura de TI, en la tecnología secundaria y en la cadena de procesos.

Acceso seguro

Al cambiar el usuario “admin”, que por defecto viene WordPress, por otro estaremos aumentando la seguridad, pero también es recomendable otras formas como son:

Instala solo plugins actualizados

Los plugins son herramientas muy útiles para aumentar las funcionalidades de tu blog, pero ten cuidado cuando elijas uno e instala solo aquellos plugins que hayan sido actualizados por sus creadores en los últimos meses.

Por otra parte, es recomendable descargar solo plugins necesarios. Si tenemos demasiados instalados, pueden afectar al rendimiento y a la velocidad de carga de tu página web.

Comprueba la procedencia de los temas y los plugins

A la hora de instalar una plantilla o un plugin, debemos ser muy cuidadosos con la procedencia de la descarga ya que si el sitio no es fiable, estamos dejando la puerta abierta a posibles ataques.

Descarga plugins solo desde la página oficial de WordPress o desde el panel de administración del usuario. Para instalar plantillas, elige páginas fiables como ThemeForest.

Instala un plugin de seguridad en WordPress

Existen plugins que nos ayudan a proteger nuestra página web, cubriendo las amenazas más comunes como los ataques de fuerza bruta. A continuación, encontrarás una lista con los plugins de seguridad más populares de WordPress.


Los mejores plugins de seguridad para WordPress

All in one WP Security

Este plugin incluye varios servicios de seguridad para WordPress entre las que se incluyen la protección firewall, gestión de índices de bases de datos, protección contra comentarios SPAM, antivirus, detección de modificaciones de archivos, posibilidad de deshabilitar la información Meta WP y supervisión de las cuentas de usuario.

Ithemes Security

iThemes Security (antes Better WP Security) cuenta con dos versiones (la gratuita y la Premium). Es uno de los plugins más populares de WordPress ya que cubre las amenazas de seguridad más frecuentes. Registra la acciones de los usuarios, cuenta con un proceso de identificación en dos pasos y fuerza el uso de contraseñas seguras para las funciones específicas de los usuarios y monitoriza los cambios en los archivos, entre otras medidas.

Si realizas la instalación de Ithemes Security en una página que tiene contenido, haz una copia de seguridad antes ya que se podrían perder algunos datos.

Limit Login Attempts

Este plugin limita el número de intentos de inicio de sesión por IP. De esta forma, cuando se intente realizar un ataque masivo éste será bloqueado (cuando proceda de la misma dirección IP). Además nos mostrará un informe de inicios de sesión que hayan sobrepasado el límite establecido, para bloquearlas definitivamente si lo creemos necesario.

WP Security Scan

WP Security Scan indica incidencias en la instalación de WordPress para indicarnos incidencias. También proporciona consejos para mejorar la seguridad de nuestro WordPress, relacionados con contraseñas, permisos de archivos, seguridad en la base de datos, seguridad del panel de administración, etc.

Wordfence Security

Wordfence Security es otro de los plugins de seguridad considerado como “esencial” por los administradores de páginas web en WordPress. Este plugin evita sobrecargas en el hosting. Además Wordfence añade un sistema de firewall en nuestros blogs, detección de virus y tráfico en tiempo real.