fbpx UA-51298262-10
Ayuda Hosting EmpresasWordPress

Medidas de seguridad para alojamientos de WordPress

By julio 24, 2020 No Comments

En este artículo de Ayuda Hosting, les mostraremos algunas medidas de seguridad para alojamientos de WordPress. La seguridad es de suma importancia para cualquier sitio web. Una pequeña omisión puede dañar un sitio web fácilmente.

¿Sabían ustedes que más de la cuarta parte de los sitios web en Internet usan WordPress? Este hecho es impresionante, pero también pone a WordPress en alto riesgo de ser atacado por hackers notorios. Un error de seguridad en el CMS más conocido de Internet pone en riesgo a millones de sitios. Sería como dejar una puerta trasera abierta a merced de bandidos.

Usar una contraseña impredecible y mantenerse actualizado con la última versión del software son tácticas de seguridad básicas. Sin embargo, hay una serie de prácticas de seguridad que los usuarios experimentados de WordPress ya conocen.

Medidas de seguridad para alojamientos de WordPress

Entonces, en lugar de ser repetitivos, discutamos un tema que no ha sido cubierto de manera justa. Hoy en Ayuda Hosting, conocerán sobre algunos ajustes de seguridad relacionados con el alojamiento web. Estos ajustes deben garantizarse cuando suscribamos cualquier plan con nuestro proveedor de alojamiento.

Servicios de alojamiento de WordPress

Un proveedor de alojamiento web es la columna vertebral de cualquier sitio de WordPress. Su trabajo es un poco más allá de simplemente mantener nuestros datos en un servidor. Deben proporcionarnos un entorno seguro y evitar la intrusión de piratas informáticos. Si las empresas de alojamiento no son seguras, entonces es probable que diferentes vulnerabilidades estén consumiendo nuestros recursos. Es notorio que el mayor problema asociado con un alojamiento deficiente es un sitio web lento.

Por lo tanto, un proveedor de alojamiento web debe proporcionar servicios seguros desde sus centros de datos para la protección contra exploits sofisticados.

Medidas de seguridad para alojamientos de WordPress

Ajustes de seguridad básicos

Al comienzo de este artículo, hemos mencionado que existen ajustes de seguridad básicos, pero sería injusto para los principiantes que están leyendo esta publicación no mencionarlos. Para ellos, presentamos un breve resumen:

  • No usar admin como nombre de usuario.
  • Mantener actualizado nuestro WordPress con la última versión.
  • Actualizar plugins y temas regularmente.
  • Evitar descargar plugins de fuentes no oficiales o plataformas de marketing de aspecto malicioso.
  • Usar una contraseña segura (podemos usar recursos como Random Password Generator y LastPass Generate Password).
  • Limitar los intentos de inicio de sesión para poner fin a los ataques de fuerza bruta (WP Limit Login Attempts).
  • No instalar plugins que no se hayan actualizado recientemente.

Incluso si somos usuarios experimentados de WordPress, esta es una buena lista para futuras referencias. Ahora, vayamos directamente al asunto de fondo. Es decir, ¿cuáles son las medidas de seguridad para alojamientos de WordPress?

Eliminar informes de errores de PHP

Los errores de procesamiento o análisis de PHP pueden decir mucho. Si un tema o plugin de WordPress no funciona como se esperaba, podría generar un mensaje de error. Los desarrolladores pueden superar esto mediante el empleo de diferentes técnicas de solución de problemas. Sin embargo, estos errores nunca se hacen públicos en sus entornos de producción.

Una de las principales técnicas de seguridad que ofrece WordPress es deshabilitar los informes de errores. De forma predeterminada, WordPress no permite que aparezcan errores, advertencias y fallas relacionadas con CMS en el frontend y el backend. Sin embargo, el informe de errores de PHP todavía está habilitado, y esto ocurre por alguna razón muy válida.

Todo lo que requiere un hacker es la ruta completa de nuestro servidor. Esto es como recompensar a un pirata informático con un manual que detalla todos los escondrijos de nuestro sitio. Eso sería absurdo, por lo tanto, es buena idea deshabilitar este informe de errores para sitios públicos. Para deshabilitar el informe de errores de PHP, podemos agregar el siguiente código corto al archivo wp-config.php:

error_reporting(0);
ini_set('display_errors',0);
error_reporting(E_ALL|E_STRICT);

Utilizar solo SFTP y SSH

El Protocolo de transferencia de archivos (FTP) es el protocolo comúnmente empleado para transferir archivos a través de Internet. Funciona de la misma manera en la que HTTP utiliza los protocolos TCP/IP de Internet para permitir la transferencia de datos. Podemos conectarnos por FTP a través de un cliente FTP como Filezilla, así como transmitir y cargar o descargar archivos desde o hacia nuestro servidor. La mayoría de los servidores web proporcionan FTP y SFTP (Protocolo Seguro de Transferencia de Archivos).

Ambos se utilizan para el intercambio de datos entre el cliente y el servidor. Debemos usar el protocolo SFTP porque garantiza que la transmisión del archivo sea segura y eficiente. Para conectarnos a través del protocolo SFTP, nos ponemos en contacto con nuestro host y dejamos que este nos guíe.

Otra forma de conectarnos al servidor es a través de Secure SHell (SSH). Podemos hacerlo por defecto en nuestro Mac o con PuTTy (Windows). Usamos los mismos detalles que SFTP para conectarnos. SFTP y SSH son inherentemente más seguros, por lo que es una buena práctica usarlos.

Medidas de seguridad para alojamientos de WordPress

Los permisos de archivo deben ser adecuados

Los permisos de archivo pueden ser algo complejos. Son importantes porque deciden quién puede leer, escribir y ejecutar los archivos en nuestro servidor. Algunas de las principales funciones de WordPress solo son posibles al permitir que ciertos archivos se escriban en el servidor web. Esto puede ser algo peligroso, especialmente si nuestro sitio está alojado en un entorno de alojamiento compartido.

Es una buena práctica utilizar permisos de archivo estrictos. Sin embargo, si los plugins requieren ciertos permisos de archivo, podemos cambiarlos más adelante.

WordPress recomienda los siguientes permisos de archivo:

  • Carpetas y directorios: 755.
  • Archivos: 644.

Para verificar los permisos de nuestros archivos, usamos SFTP o SSH. El archivo .htaccess en el directorio raíz, necesita reglas de reescritura automáticas de WordPress para establecer el permiso en 644. Los desarrolladores deben verificar los permisos de archivos cambiantes y los conceptos avanzados si desean conocer más sobre este tema.

Medidas de seguridad para alojamientos de WordPress

Deshabilitar la edición de archivos desde el panel de WordPress

El editor predeterminado de WordPress (Apariencia -> Editor de temas) nos permite editar los archivos de temas. Es un atajo agradable que ahorra tiempo para acceder a los archivos. Sin embargo, tiene un gran poder y acarrea una gran responsabilidad. Permitir que los archivos se editen a través del tablero puede ser peligroso si los piratas informáticos tienen acceso a él.

Pueden inyectar scripts maliciosos muy fácilmente, lo que puede permitirles acceder a la base de datos o al servidor completo por lo valioso que resulta.

No solo esto, sino como desarrolladores, nunca debemos tratar de codificar en un sitio web en vivo.

Si comprendemos lo peligroso que puede ser, aquí mostramos cómo deshabilitar la función de edición de archivos. Para hacerlo, nos vamos a nuestro archivo wp-config.php. Aquí encontraremos un comentario, es decir:

/* That's all, stop editing! Happy blogging. */

Simplemente pegamos el siguiente código justo debajo de esta línea comentada:

define( 'DISALLOW_FILE_EDIT', true );

Este código deshabilita la opción para la edición de temas y plugins. Por cierto, también podemos hacerlo recreándonos con el código a través del plugin iThemes Security.

Prevenir la exploración de directorios

La exploración de directorios permite a los visitantes examinar el contenido de las carpetas en nuestro sitio web. Una instalación de WordPress contiene muchos directorios y subdirectorios como wp-content y wp-includes. La exploración de directorios, si está habilitada, permite que un hacker visite cualquier directorio y vea qué archivos existen en él.

Con esta técnica, cualquiera puede examinar la estructura de todo nuestro sitio. Los hackers incluso pueden ver qué plugins estamos utilizando, qué versión de WordPress tenemos, qué tema estamos utilizando y mucho más. Por supuesto, no queremos eso.

La mayoría de los servidores web deshabilitan la exploración de directorios por razones obvias. Sin embargo, muchos otros no. Esto puede ser una violación de seguridad masiva. Para evitar la exploración de directorios, debemos seguir los siguientes pasos:

  1. Abrir el archivo .htaccess (este archivo puede estar oculto, así que tenemos que mostrar los archivos ocultos) en el directorio raíz de WordPress y agregamos el siguiente código al final de este archivo:
# Disable Directory Browsing
Options All -Indexes
  1. Como precaución, debemos mantener además una copia de seguridad del archivo .htaccess. Como lo mencionamos anteriormente, esto también se puede lograr con el plugin de seguridad iThemes Security.

Medidas de seguridad para alojamientos de WordPress

Asegurar wp-config.php

wp-config.php es el archivo más crítico en una instalación de WordPress. Allí, residen todas las credenciales de la base de datos y otras informaciones importantes. Además, contiene muchos parámetros de configuración que pueden mejorar la seguridad del sitio. Dado que nadie con intenciones maliciosas debe acceder a este archivo, podemos bloquear el acceso al archivo wp-config.php a través de .htaccess.

Para hacerlo, debemos agregar las siguientes líneas a nuestro archivo .htaccess:

# protect wpconfig.php
<files wp-config.php>
order allow, deny
deny from all
</files>

Algunos especialistas recomiendan mover el archivo wp-config.php fuera de la raíz web, pero eso es bastante discutible. Dado que el archivo wp-config.php solo define una gran cantidad de constantes y nunca imprime nada en la pantalla, moverlo podría no ayudar en absoluto. Lo que debemos hacer es restringir el acceso a él. Podemos obtener más detalles sobre esto aquí.

Bloquear o eliminar license.txt, etc.

WordPress ofrece muchos archivos. La mayoría de ellos quedan integrados en el momento de la instalación. Otros son redundantes. Estos son los archivos: license.txt, readme.html y wp-config-sample.php. Estos no tienen rumbo en el directorio raíz. Cualquiera puede acceder a estos archivos y aprender cosas importantes sobre la instalación. Por esta razón, es mejor eliminar estos archivos.

El archivo readme.html contiene texto introductorio e instrucciones de instalación. También revela la versión de WordPress que estamos utilizando. Esta puede ser o no una información crítica para los piratas informáticos. El archivo license.txt contiene los detalles de la licencia pública general GNU del software. Podemos eliminar estos archivos yendo a cPanel -> Administrador de archivos -> Directorio raíz. También podemos restringir el acceso a ellos cambiando los permisos para que no se puedan leer.

Obtener un servidor web confiable

Nadie tiene mayor control sobre nuestro sitio que el proveedor de alojamiento web. Él mantiene el servidor en el que está alojado nuestro sitio. Un proveedor de alojamiento web es responsable de mantener nuestros servidores 24/7 y actualizarlos con las últimas tecnologías.

La seguridad, por defecto, también cae en nuestro haber. No importa cuántas tácticas de seguridad apliquemos, si nuestro servidor se ve comprometido, todo se pierde.

Un buen proveedor de alojamiento web debe tener las siguientes cualidades:

  • Ser confiable.
  • Mantener copias de seguridad regulares de nuestro sitio web.
  • Ser hermético y serio sobre la seguridad.
  • Utilizar la última tecnología y software en el servidor.
  • Ejecutar escaneos de malware con regularidad.

Sobre todo, un buen proveedor de alojamiento web se ocupa de nuestros datos como si les pertenecieran. En nuestra página de empresas de alojamiento existen proveedores de hosting cuyos servidores web cumplen con los criterios mencionados anteriormente. Allí podremos elegir cualquiera de ellos para estar seguros.

Conclusión

No importa cuántas veces las soluciones de hosting afirman ser 100% seguras, la seguridad nunca puede ser 100%. Es una cuestión de cuidado constante. Sin embargo, tomar precauciones y estar atentos nos hace estar cada vez más cerca de estar 100% seguros.

Incluso con la implementación de estas medidas de seguridad para alojamientos, no estaremos completamente seguros. Pero es un buen comienzo.

Esperamos que este artículo sobre medidas de seguridad en alojamientos de WordPress, les haya resultado útil. Si por alguna razón tu sitio de WordPress está caído, puede que te sea de mucha utilidad nuestra guía para solucionarlo.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información. ACEPTAR

Aviso de cookies
AyudaHosting.online
Estamos en las redes sociales para ayudarte...
¡SÍGUENOS EN FACEBOOK!
¡ÚNETE A NUESTRO GRUPO DE AYUDA HOSTING!
We use cookies to help give you the best experience on our website.
By continuing without changing your cookie settings, we assume you agree to this. Please read our
Ok, I Agree