¿Sabías que más de la cuarta parte de los sitios web en Internet usan WordPress? Este hecho es impresionante, pero también pone a WordPress en alto riesgo de ser atacado por hackers notorios.
Un error de seguridad en el CMS más conocido de Internet pone en riesgo a millones de sitios. Sería como dejar una puerta trasera abierta a merced de bandidos.
Usar una contraseña impredecible y mantenerse actualizado con la última versión del software son tácticas de seguridad básicas. Sin embargo, hay una serie de medidas de seguridad que los usuarios experimentados de WordPress ya conocen.
En este artículo de Ayuda Hosting, les mostraremos algunas medidas de seguridad para alojamientos de WordPress. La seguridad es de suma importancia para cualquier sitio web. Una pequeña omisión puede dañar un sitio web fácilmente.
Entonces, en lugar de ser repetitivos, discutamos un tema que no ha sido cubierto de manera justa. Hoy en Ayuda Hosting, conocerán sobre algunos ajustes de seguridad relacionados con el alojamiento web. Estos ajustes deben garantizarse cuando suscribamos cualquier plan con nuestro proveedor de alojamiento.
Índice
- 1 Servicios de alojamiento de WordPress
- 2 Ajustes de seguridad básicos
- 2.1 Eliminar informes de errores de PHP
- 2.2 Utilizar solo SFTP y SSH
- 2.3 Los permisos de archivo deben ser adecuados
- 2.4 Deshabilitar la edición de archivos desde el panel de WordPress
- 2.5 Prevenir la exploración de directorios
- 2.6 Asegurar wp-config.php
- 2.7 Bloquear o eliminar license.txt, etc.
- 2.8 Obtener un servidor web confiable
- 2.9 Consejos de seguridad que protegen nuestro sitio web de piratas informáticos
- 2.10 Usar HTTPS en lugar de HTTP
- 2.11 Garantizar la seguridad de las contraseñas
- 2.12 Mantener el software actualizado
- 2.13 Cuidado con la inyección SQL y los ataques XSS
- 3 Poner a prueba la seguridad de nuestro sitio
- 4 Conclusión
Servicios de alojamiento de WordPress
Un proveedor de alojamiento web es la columna vertebral de cualquier sitio de WordPress. Su trabajo es un poco más allá de simplemente mantener nuestros datos en un servidor. Deben proporcionarnos un entorno seguro y evitar la intrusión de piratas informáticos.
Si las empresas de alojamiento no son seguras, entonces es probable que diferentes vulnerabilidades estén consumiendo nuestros recursos. Es notorio que el mayor problema asociado con un alojamiento deficiente es un sitio web lento.
Por lo tanto, un proveedor de alojamiento web debe proporcionar servicios seguros desde sus centros de datos para la protección contra exploits sofisticados.
Ajustes de seguridad básicos
Al comienzo de este artículo, hemos mencionado que existen ajustes de seguridad básicos, pero sería injusto para los principiantes que están leyendo esta publicación no mencionarlos. Para ellos, presentamos un breve resumen:
✅ No usar admin como nombre de usuario.
✅ Mantener actualizado nuestro WordPress con la última versión.
✅ Actualizar plugins y temas regularmente.
✅ Evitar descargar plugins de fuentes no oficiales o plataformas de marketing de aspecto malicioso.
✅ Usar una contraseña segura (podemos usar recursos como Random Password Generator y LastPass Generate Password).
✅ Limitar los intentos de inicio de sesión para poner fin a los ataques de fuerza bruta (WP Limit Login Attempts).
✅ No instalar plugins que no se hayan actualizado recientemente.
Incluso si somos usuarios experimentados de WordPress, esta es una buena lista para futuras referencias. Ahora, vayamos directamente al asunto de fondo. Es decir, ¿cuáles son las medidas de seguridad para alojamientos de WordPress?
Eliminar informes de errores de PHP
Los errores de procesamiento o análisis de PHP pueden decir mucho. Si un tema o plugin de WordPress no funciona como se esperaba, podría generar un mensaje de error.
Los desarrolladores pueden superar esto mediante el empleo de diferentes técnicas de solución de problemas. Sin embargo, estos errores nunca se hacen públicos en sus entornos de producción.
Una de las principales técnicas de seguridad que ofrece WordPress es deshabilitar los informes de errores. De forma predeterminada, WordPress no permite que aparezcan errores, advertencias y fallos relacionadas con CMS en el frontend y el backend. Sin embargo, el informe de errores de PHP todavía está habilitado, y esto ocurre por alguna razón muy válida.
Todo lo que requiere un hacker es la ruta completa de nuestro servidor. Esto es como recompensar a un pirata informático con un manual que detalla todos los escondrijos de nuestro sitio. Eso sería absurdo, por lo tanto, es buena idea deshabilitar este informe de errores para sitios públicos.
Para deshabilitar el informe de errores de PHP, podemos agregar el siguiente código corto al archivo wp-config.php:
error_reporting(0); ini_set('display_errors',0); error_reporting(E_ALL|E_STRICT);
Utilizar solo SFTP y SSH
El Protocolo de transferencia de archivos (FTP) es el protocolo comúnmente empleado para transferir archivos a través de Internet. Funciona de la misma manera en la que HTTP utiliza los protocolos TCP/IP de Internet para permitir la transferencia de datos.
Podemos conectarnos por FTP a través de un cliente FTP como Filezilla, así como transmitir y cargar o descargar archivos desde o hacia nuestro servidor. La mayoría de los servidores web proporcionan FTP y SFTP (Protocolo Seguro de Transferencia de Archivos).
Ambos se utilizan para el intercambio de datos entre el cliente y el servidor. Debemos usar el protocolo SFTP, porque garantiza que la transmisión del archivo sea segura y eficiente. Para conectarnos a través del protocolo SFTP, nos ponemos en contacto con nuestro host y dejamos que este nos guíe.
Otra forma de conectarnos al servidor es a través de Secure SHell (SSH). Podemos hacerlo por defecto en nuestro Mac o con PuTTy (Windows). Usamos los mismos detalles que SFTP para conectarnos. SFTP y SSH son inherentemente más seguros, por lo que es una buena práctica usarlos.
Los permisos de archivo deben ser adecuados
Los permisos de archivo pueden ser algo complejos. Son importantes, porque deciden quién puede leer, escribir y ejecutar los archivos en nuestro servidor.
Algunas de las principales funciones de WordPress solo son posibles al permitir que ciertos archivos se escriban en el servidor web. Esto puede ser algo peligroso, especialmente si nuestro sitio está alojado en un entorno de alojamiento compartido.
Es una buena práctica utilizar permisos de archivo estrictos. Sin embargo, si los plugins requieren ciertos permisos de archivo, podemos cambiarlos más adelante. WordPress recomienda los siguientes permisos de archivo:
☑️ Carpetas y directorios: 755.
☑️ Archivos: 644.
Para verificar los permisos de nuestros archivos, usamos SFTP o SSH. El archivo .htaccess en el directorio raíz, necesita reglas de reescritura automáticas de WordPress para establecer el permiso en 644.
Los desarrolladores deben verificar los permisos de archivos cambiantes y los conceptos avanzados si desean conocer más sobre este tema.
Deshabilitar la edición de archivos desde el panel de WordPress
El editor predeterminado de WordPress (Apariencia -> Editor de temas) nos permite editar los archivos de temas. Es un atajo agradable que ahorra tiempo para acceder a los archivos.
Sin embargo, tiene un gran poder y acarrea una gran responsabilidad. Permitir que los archivos se editen a través del tablero puede ser peligroso, si los piratas informáticos tienen acceso a él.
Pueden inyectar scripts maliciosos muy fácilmente, lo que puede permitirles acceder a la base de datos o al servidor completo por lo valioso que resulta. No solo esto, sino como desarrolladores, nunca debemos tratar de codificar en un sitio web en vivo.
Si comprendemos lo peligroso que puede ser, aquí mostramos cómo deshabilitar la función de edición de archivos. Para hacerlo, nos vamos a nuestro archivo wp-config.php. Aquí encontraremos un comentario, es decir:
/* That's all, stop editing! Hap
py blogging. */
Simplemente pegamos el siguiente código justo debajo de esta línea comentada:
define( 'DISALLOW_FILE_EDIT', true );
Este código deshabilita la opción para la edición de temas y plugins. Por cierto, también podemos hacerlo recreándonos con el código a través del plugin iThemes Security.
Prevenir la exploración de directorios
La exploración de directorios permite a los visitantes examinar el contenido de las carpetas en nuestro sitio web. Una instalación de WordPress contiene muchos directorios y subdirectorios como wp-content y wp-includes.
La exploración de directorios, si está habilitada, permite que un hacker visite cualquier directorio y vea qué archivos existen en él.
Con esta técnica, cualquiera puede examinar la estructura de todo nuestro sitio. Los hackers incluso pueden ver qué plugins estamos utilizando, qué versión de WordPress tenemos, qué tema estamos utilizando y mucho más. Por supuesto, no queremos eso.
La mayoría de los servidores web deshabilitan la exploración de directorios por razones obvias. Sin embargo, muchos otros no. Esto puede ser una violación de seguridad masiva. Para evitar la exploración de directorios, debemos seguir los siguientes pasos:
- Abrir el archivo .htaccess (este archivo puede estar oculto, así que tenemos que mostrar los archivos ocultos) en el directorio raíz de WordPress y agregamos el siguiente código al final de este archivo:
# Disable Directory Browsing Options All -Indexes
- Como precaución, debemos mantener además una copia de seguridad del archivo .htaccess. Como lo mencionamos anteriormente, esto también se puede lograr con el plugin de seguridad iThemes Security.
Asegurar wp-config.php
wp-config.php es el archivo más crítico en una instalación de WordPress. Allí, residen todas las credenciales de la base de datos y otras informaciones importantes.
Además, contiene muchos parámetros de configuración que pueden mejorar la seguridad del sitio. Dado que nadie con intenciones maliciosas debe acceder a este archivo, podemos bloquear el acceso al archivo wp-config.php a través de .htaccess.
Para hacerlo, debemos agregar las siguientes líneas a nuestro archivo .htaccess:
# protect wpconfig.php <files wp-config.php> order allow, deny deny from all </files>
Algunos especialistas recomiendan mover el archivo wp-config.php fuera de la raíz web, pero eso es bastante discutible.
Dado que el archivo wp-config.php solo define una gran cantidad de constantes y nunca imprime nada en la pantalla, moverlo podría no ayudar en absoluto. Lo que debemos hacer es restringir el acceso a él. Podemos obtener más detalles sobre esto aquí.
Bloquear o eliminar license.txt, etc.
WordPress ofrece muchos archivos. La mayoría de ellos quedan integrados en el momento de la instalación. Otros son redundantes. Estos son los archivos: license.txt, readme.html y wp-config-sample.php.
Estos no tienen rumbo en el directorio raíz. Cualquiera puede acceder a estos archivos y aprender cosas importantes sobre la instalación. Por esta razón, es mejor eliminar estos archivos.
El archivo readme.html contiene texto introductorio e instrucciones de instalación. También revela la versión de WordPress que estamos utilizando. Esta puede ser o no una información crítica para los piratas informáticos.
El archivo license.txt contiene los detalles de la licencia pública general GNU del software. Podemos eliminar estos archivos yendo a cPanel -> Administrador de archivos -> Directorio raíz. También podemos restringir el acceso a ellos cambiando los permisos para que no se puedan leer.
Obtener un servidor web confiable
Nadie tiene mayor control sobre nuestro sitio que el proveedor de alojamiento web. Él mantiene el servidor en el que está alojado nuestro sitio.
Un proveedor de alojamiento web es responsable de mantener nuestros servidores 24/7 y actualizarlos con las últimas tecnologías.
La seguridad, por defecto, también cae en nuestro haber. No importa cuántas tácticas de seguridad apliquemos, si nuestro servidor se ve comprometido, todo se pierde.
Un buen proveedor de alojamiento web debe tener las siguientes cualidades:
✅ Ser confiable.
✅ Mantener copias de seguridad regulares de nuestro sitio web.
✅ Ser hermético y serio sobre la seguridad.
✅ Utilizar la última tecnología y software en el servidor.
✅ Ejecutar escaneos de malware con regularidad.
Sobre todo, un buen proveedor de alojamiento web se ocupa de nuestros datos como si les pertenecieran.
En nuestra página de empresas de alojamiento existen proveedores de hosting cuyos servidores web cumplen con los criterios mencionados anteriormente. Allí podremos elegir cualquiera de ellos para estar seguros.
Consejos de seguridad que protegen nuestro sitio web de piratas informáticos
A continuación, les mostramos algunos consejos de seguridad que servirán para proteger nuestro sitio web o blog de los ataques por parte de hackers y piratas informáticos. ¡Comencemos!.
Usar HTTPS en lugar de HTTP
El tráfico web ordinario no está encriptado y, como explica VPNOverview, existen muchas formas de ver e intervenir los datos transmitidos por los usuarios de Internet.
Un certificado SSL (HTTPS) proporciona una forma económica y sencilla de garantizar que el tráfico que se envía hacia y desde nuestro sitio web viaje encriptado.
Esto hace que el tráfico sea más seguro y dificulta la intercepción por parte de los piratas informáticos. Un ataque que se puede utilizar para espiar una conexión o robar la información de un formulario enviado, entre otras informaciones sensibles para nuestro negocio.
Existen varias opciones para comprar un certificado SSL, y algunos proveedores de alojamiento incluso lo incluyen de forma gratuita.
Garantizar la seguridad de las contraseñas
Esto puede sonar trivial, pero no lo es. Mucha gente no aplica la política de contraseñas recomendadas, y esto ha llevado a miles de ataques en varios sitios web.
El primer paso para garantizar la seguridad de la contraseña es adoptar la estrategia CLU. Una contraseña Compleja, Larga y Única.
Debemos usar un mínimo de 8 caracteres con una combinación de mayúsculas, minúsculas, números y caracteres especiales. También, podemos usar un administrador de contraseñas para ayudar a recordarlas.
También podemos agregar la autenticación de dos pasos como una forma de aumentar nuestra seguridad de inicio de sesión. Esto evitará que, en el caso de que nuestra contraseña se vea comprometida, un ataque no pueda llevarse a cabo sin una confirmación adicional.
Por último, todas las contraseñas en la base de datos deben almacenarse como valores cifrados, ya que esto ayudará a limitar el daño en caso de un ataque. Se recomienda un algoritmo de hashing unidireccionales, esto la hará infalible.
Mantener el software actualizado
Actualizar regularmente todo el software que utilizamos es una práctica de seguridad importante. El software anterior puede tener vulnerabilidades de las que los piratas informáticos ya están conscientes. Estas vulnerabilidades generalmente, se reparan mediante actualizaciones.
La actualización de nuestro software se aplica al sistema operativo del servidor, al CMS que estamos ejecutando, e incluso los plugins que utilizamos.
La mayoría de los plugins se pueden configurar para actualizarse automáticamente. Sin embargo, otros softwares como WordPress generalmente nos notifican cuando hay una actualización disponible.
Muchos proveedores suelen tener una lista de correo o una fuente RSS para notificarles a los usuarios cuándo hay una actualización de software disponible.
Si estamos utilizando un alojamiento administrado, tendremos algunos cortes de trabajo de actualización para nosotros. Sin embargo, debemos verificarlo de vez en cuando para asegurarnos de que estamos seguros.
También podemos optar por una herramienta como Gemnasium para recibir notificaciones automáticas cuando se anuncie una vulnerabilidad de un componente que estemos utilizando.
Cuidado con la inyección SQL y los ataques XSS
Los ataques de inyección SQL utilizan sentencias SQL maliciosas para tratar de manipular nuestra base de datos. Estas, pueden cambiar tablas, proporcionar entradas maliciosas, obtener información o incluso eliminar datos importantes.
Las secuencias de comandos entre sitios (XSS), por otro lado, se utilizan para pasar JavaScript u otro código de secuencias de comandos a un formulario web. Por ejemplo, secciones de comentarios. Todo esto con el objeto de ejecutar códigos maliciosos en los visitantes de nuestro sitio.
Para evitar la inyección de SQL, debemos usar consultas parametrizadas, declaraciones preparadas o procedimientos almacenados en lugar de declaraciones SQL regulares.
Los ataques XSS se pueden evitar mediante la división o codificación de cualquier HTML. También podemos hacerlo verificando los comentarios enviados antes de que se publiquen.
Poner a prueba la seguridad de nuestro sitio
Es importante confirmar que nuestro sitio web cumple con todos los criterios recomendados, ya que las vulnerabilidades de seguridad son enormes y surgen todos los días. Para esta tarea, necesitaremos un software de prueba de penetración especial.
Existen varias herramientas disponibles, aunque debemos tener cuidado de no confiar en una herramienta aleatoria. Dos de las más recomendadas son Netsparker y OpenVAS.
Es posible que también quieras conocer cómo agregar preguntas de seguridad para ingresar en WordPress.
Conclusión
No importa cuántas veces las soluciones de hosting afirman ser 100% seguras, la seguridad nunca puede ser 100%. Es una cuestión de cuidado constante. Sin embargo, tomar precauciones y estar atentos nos hace estar cada vez más cerca de estar 100% seguros.
Incluso con la implementación de estas medidas de seguridad para alojamientos, no estaremos completamente seguros. Pero es un buen comienzo.
Si aún no dispones de copias de seguridad de tu página we, te recomendamos este tutorial donde te explicamos el paso a paso «Cómo crear y restaurar copias de seguridad en WordPress».
Esperamos que este artículo sobre medidas de seguridad en alojamientos de WordPress, les haya resultado útil. Si por alguna razón tu sitio de WordPress está caído, puede que te sea de mucha utilidad nuestra guía para solucionarlo.