Deividart- Blog de diseño gráfico y diseño/desarrollo web

Seguridad avanzada – Blinda WordPress con estos consejos

Cuando tenemos instalado en el servidor un CMS como WordPress no es suficiente con tener actualizados todos los plugins, plantillas y el propio sistema a la última versión para estar libre de ataques. Por eso hoy quiero compartir una serie de recomendaciones (algunos casi obligaciones) para aumentar la seguridad de WordPress a un nivel más avanzado.

Algunas de estas recomendaciones se pueden llevar a cabo a través de plugins pero para otras necesitaremos de conocimientos en programación.

Instalar Firewall

La instalación de un firewall en WordPress evita accesos indeseados al sistema. Por defecto, WordPress implementa algunas medidas de seguridad, pero no es nada en comparación con lo que un plugin de seguridad confiable puede hacer, como análisis de archivos, análisis de malware, monitoreo de la blacklist…

Para instalar un firewall en WordPress solo debemos buscar entre las muchas opciones de plugins de seguridad que tenemos a mano.

Yo desde siempre he usado Wordfence y hasta día de hoy no he tenido ningún problema. Las opciones de configuración pueden ser abrumadoras, pero te permite bloquear el acceso al sistema como más te interesa, por IP, por paises, limitando el número de intentos de acceso, etc…

Además tiene un sistema de notificaciones personalizables, para informarte via email de algún acceso sospechoso, de actualizaciones críticas o informes de seguridad.

Wordpres seguridad avanzada

Modificar URL de acceso al panel de control

Las URL’s de WordPress, como cualquier sistema estándar, son accesibles por cualquier usuario/robot que las conozca. En el caso de WordPress, cualquiera puede acceder al formulario de acceso introduciendo al final del dominio la terminación /wp-admin. Esto lo hace muy vulnerable ante cualquier ataque, por ello es casi obligatorio modificar esta URL.

Podemos hacerlo mediante plugins (yo usaba WP-Hiden pero actualmente lleva más de 3 meses sin actualizar y para un tema tan delicado prefiero usar uno con más soporte, que me de más garantías, por eso he pasado a WP-Hide Security) o manualmente para evitar el uso excesivo de plugins en tareas más sencillas.

Edita el archivo htacess

El archivo .htaccess se usa para forzar determinados comportamientos en un servidor web Apache, como evitar el acceso al servidor desde determinados paises, configurar las redirecciones 301 o como el caso que nos lleva este artículo, aumentar la seguridad evitando el acceso a carpetas críticas del sistema o ejecuciones de ciertos archivos.

Este punto es bastante extenso, ya que son muchas las opciones que podemos llevar a cabo, por eso os dejo un artículo que os explica con todo detalle como editar el archivo htaccess para aumentar la seguridad de WordPress. Eso si, tened cuidado, porque necesitaremos tener conocimientos en programación para poder editarlo y el mínimo fallo en este archivo nos dejará la web inoperativa.

Actualiza versión de PHP

Las versiones 5.x.x de PHP se han quedado obsoletas desde hace mucho tiempo, por lo que es recomedable utilizar las últimas versiones para incrementar la seguridad de nuestro sitio web, ya sea WordPress o bajo cualquier otro CMS.

Para ello debes acceder al panel de control de tu proveedor de hosting, pero antes, asegurate que no tienes otras aplicaciones web funcionando en el servidor, ya que afectarán su funcionamiento si no están adaptadas a la versión de PHP establecida (recomiendo a partir de la 7.x).

Modifica prefijo de las tablas en la base de datos

Este paso lo podemos hacer desde la instalación de WordPress en el servidor. Por defecto el prefijo siempre ha sido wp_ , demasiada información para los hackers, así que más que recomendable es obligatorio cambiar este prefijo.

Si no lo hemos hecho en la instalación podemos hacerlo después, pero antes debemos hacer una copia de seguridad, ya que estamos cambiando información crítica del sistema. Una vez realizada la copia de seguridad tenemos 2 opciones; o hacer el cambio manualmente (para ello debemos tener conocimientos de lenguaje SQL) o a través de plugins.

Esta última opción es la más recomendada, ya que una vez ejecutado y cumplida su función podemos deshacernos de él, y evitar que ocupe espacio innecesario en nuestro servidor.

Una vez tengamos el prefijo de nuestras tablas modificado recomiendo hacer un chequeo através del contenido de las mismas con el plugin Search & Replace.

Desactivar el protocolo XMLRPC

En la carpeta raíz de WordPress hay un archivo con el nombre XMLRPC.php que permite estructurar datos en XML y transmitirlos por medio del protocolo HTTP. En resumidas cuentas permite el intercambio de datos entre distintas aplicaciones de forma remota. Esto puede provocar accesos indeseados aumentando considerablemente el uso de la RAM y CPU del servidor de hosting contratado y ahí es donde aparece el problema, ya que en planes de hosting compartido con los recursos limitados, esto puede ser realmente un problema.

Para solucionarlo tenemos varias opciones. Aquí os dejo una página donde explican 4 métodos para desactivar el protocolo XMLRPC y elijais el más cómodo para vosotros

https://raiolanetworks.es/blog/xmlrpc-php-de-wordpress-que-es-y-como-protegerlo/

Salir de la versión móvil