Seguridad para WordPress


Seguridad para WordPress (I)

WordPress es la herramienta mas popular con un 25% de las web del mundo , esto quiere decir que también es el mas atacado. No porque WordPress sea inseguro, todo lo contrario, sino porque instalamos plugins, temas, … de terceras personas que no son del todo seguros.

 

Hay que tener en cuenta que como toda herramienta el mal uso también puede ser un problema de seguridad, así que el usuario tiene una responsabilidad con su mantenimiento.

1.- Usuarios deben tener contraseñas fuertes, con mayúsculas, minúsculas, números, signos,…  un 10% de los ataques es por contraseñas.

2.- Mantenimiento del WordPress,  hay que tener actualizada la ultima versión del tema con el que estés trabajando. Un 29% de los ataques es por esto.

3.- Plugins siempre actualizados. Un 22% de los problemas de seguridad vienen de pequeños fallos de estos.

4.- Es importante elegir un buen Hosting , Un 42% de los ataques son por vulnerabilidades de versiones no actualizadas.

 

Cada vez que sale un fallo de seguridad en WordPress o en  algún plugin este lo suele notificar a la comunidad, esto que quiere decir que los hackers están esperando la ocasión para atacar aquellos WordPress vulnerables, por eso es muy importante el mantener actualizado el sistema.

 

 

Seguridad del Usuario:

Como hemos comentado antes, es una parte importante y el usuario no debe:

1.- No uses admin como usuario administrador. ( todo el mundo conoce admin y puede ser motivo de ataques de fuerza bruta)

2.- Utilizar contraseñas seguras. En la versión 4.3 WordPress te recomienda passwords fuertes y te obliga a que si quieres usar una debil marques una casilla.

 

Mantenimiento del Usuario:

1.- Actualizar WordPress. Tener siempre actualizada la ultima versión de WordPress o.

2- Mantenimiento de plugins. Tener siempre actualizado los plugins y eliminar aquellos que no se usen.

3.- Actualizar los temas.  Muchos temas utilizan plugins de terceros como Revolution, Virtual Composer, … que traen muchas opciones para maquetar , … estos plugins tan potentes muchas veces se les detectan fallos de seguridad que pueden hacer vulnerable nuestro sitio.

Tengo puesto un firewall y me suelen llegar mas de 100 mensajes de ataques al dia intentando entrar por plugins o por temas. Intentando acceder a rutas como:

Web Page:  cssdesigner.es/wp-content/themes/churchope/lib/downloadlink.php?file=../../../../wp-config.php
Warning: URL may contain dangerous content!
Offending IP:  92.26.237.95 [ Get IP location ]
Offending Parameter:  file = ../../../../wp-config.php

Yo no tengo ningún tema de chuchope pero mandan una batería de prueba para intentar acceder a mis ficheros. Sobre todo wp-config.php

 

Seguridad de tu hosting.

Llegamos al punto mas importante el hosting, si lo que tienes es un WordPress lo mejor es tener un alojamiento preparado para ello.

Normalmente los hostings vienen con unas configuraciones y no todos los tienen con las medidas de seguridad o con las actualizaciones correspondientes.

A dia de hoy tengo mis web en webempresa y la verdad que estoy bastante contento con ellos tanto en velocidad, como en seguridad sobre todo en seguridad.

En WebEmpresa tienen Reglas de Seguridad Anti-Hackeo, realizan copias de seguridad cada 4 horas que puedo restaurar en 2 clics de raton,… y encuentras algunos detalles como que si  meto 3 veces mal mi clave me banean la ip y tengo que desbloquearla desde el panel de control. Puede ser coñazo para los clientes pero hay que tener precaución.

Podéis comprar vuestro alojamiento en  wpdoctor.es y darle un vistazo. Tambien podeis probar el mio.

 

 

Seguridad mediante plugins

Este temas es muy personal pero yo uso los siguientes plugins. Un dia sacare como configurar Ithemes Security porque es bastante sencillo y puede ser una gran defensa.