En este post os enseñaremos 15 tips para aumentar la seguridad de WordPress sin plugins.
Cómo aumentar la seguridad de WordPress es probablemente el tema más discutido en diferentes foros relacionados con WordPress. Puedes elegir entre muchos grandes plugins de seguridad, sin duda, pero también hay un puñado de grandes consejos que no requieren ninguna herramienta de terceros, pero pueden aumentar notablemente la seguridad de tu sitio de WordPress.
Algunas de estas buenas prácticas pueden realizarse fácilmente desde el administrador de WordPress, mientras que otras pueden completarse desde el cPanel de su cuenta de alojamiento o editando dos archivos de configuración: wp-config.php (para la configuración de WP) y . htaccess (para la configuración del servidor). Puede acceder a estos archivos de configuración en la carpeta public_html de su instalación de WordPress.
En este artículo, te mostraré 15 consejos de seguridad para WordPress que no requieren la instalación de un plugin.
1. Realice actualizaciones periódicas
Dónde: El administrador de WordPress
El equipo del núcleo de WordPress supervisa regularmente los problemas de seguridad y siempre que hay una nueva vulnerabilidad, la parchean. Las correcciones de errores y los parches de seguridad están disponibles como actualizaciones en el menú Dashboard > Updates del administrador de WordPress.
Preste siempre atención a la actualización regular de su sitio. No sólo el núcleo de WordPress, sino también los plugins y los temas, ya que los autores de los plugins y los temas también suelen lanzar actualizaciones de seguridad cuando es necesario.
2. Utilizar el principio del mínimo privilegio
Dónde: El administrador de WordPress
Los propietarios de sitios que dan demasiados privilegios a los usuarios es un problema común de seguridad de WordPress. De acuerdo con el Principio de Mínimos Privilegios (PoLP), los usuarios solo deberían tener tantos permisos como sean necesarios para realizar correctamente su trabajo en el sitio. WordPress tiene un excelente sistema de gestión de usuarios con cinco roles de usuario distintos:
- Suscriptor
- Colaborador
- Autor
- Editor
- Administrador
Sólo concede privilegios de administrador a los usuarios que realmente realizan tareas de administración como la actualización de plugins, la modificación de la configuración o la instalación de temas. Cuando añades un nuevo usuario, puedes seleccionar fácilmente su rol de usuario en una lista desplegable. Además, también es fácil cambiar los roles de los usuarios existentes en la página de administración de usuarios.
Para que su sitio sea más seguro, examine la tabla de»Roles y Capacidades» en el Codex de WordPress y decida qué permisos necesita cada uno de sus usuarios. Si tienen privilegios demasiado elevados, considere la posibilidad de cambiar su rol. No solo porque pueden abusar de sus permisos, sino porque si sus cuentas son hackeadas los hackers podrán causar menos daño a su sitio.
3. Cambie el nombre de usuario del administrador por defecto
Dónde: El administrador de WordPress
El nombre de usuario administrador por defecto puede causar serios problemas a la seguridad de WordPress. Los ataques automatizados de fuerza bruta se dirigen con frecuencia a las cuentas de los usuarios administradores de forma masiva. Se trata de ataques de baja calidad que no se dirigen contra un sitio en particular, sino que tratan de encontrar a los que no cambiaron el nombre de usuario de administrador por defecto.
Cambiar el nombre de usuario del administrador no es tan fácil, ya que WordPress no permite a los usuarios cambiar sus nombres de usuario desde el área de administración. Puedes cambiar el nombre de usuario en la base de datos, pero la solución más fácil es crear un nuevo usuario administrador con un nuevo nombre de usuario. Luego, sólo tienes que iniciar sesión con el nuevo administrador y eliminar el antiguo.
4. Utilice contraseñas fuertes para los usuarios de alto nivel
Dónde: El administrador de WordPress
Usar contraseñas fuertes para los usuarios de alto nivel es crucial para una buena seguridad de WordPress. Cuando un nuevo usuario se registra, WordPress genera contraseñas fuertes por defecto, sin embargo los usuarios pueden cambiarlas por unas más débiles. Preste atención a que sus usuarios de alto nivel (administradores y editores) utilicen siempre contraseñas fuertes. Si tienen miedo de no recordar contraseñas complicadas, recomiéndeles que utilicen una aplicación de gestión de contraseñas.
5. Exporte regularmente sus contenidos
Dónde: El administrador de WordPress
Si tienes un blog de WordPress con éxito, tu contenido es tu activo más importante. Durante ciertos tipos de ataques, tus posts, páginas, imágenes y otros tipos de contenido pueden verse comprometidos. Por lo tanto, nunca olvides guardarlos en tu máquina local o en un almacenamiento en la nube.
Puedes exportar fácilmente todo tu contenido desde el menú Herramientas > Exportar en la administración de WordPress. Al pulsar el botón «Descargar archivo de exportación», WordPress crea un archivo XML que puedes descargar. Cuando sea necesario, puedes reproducir fácilmente tu contenido subiendo el mismo archivo XML en la página de administración Herramientas > Importar.
6. Elimine los plugins y los temas que no necesita
Dónde: El administrador de WordPress
Los propietarios de sitios tienden a utilizar en exceso los plugins y a no eliminar los temas que no utilizan, lo que a veces puede comprometer seriamente la seguridad de WordPress. Más plugins y temas significan más vulnerabilidad. Cada nuevo plugin o tema aumenta el riesgo de ser hackeado.
Por lo tanto, sólo utilice los plugins que sean completamente necesarios. No sólo desactives, sino también elimina los que no necesites. Y, como sólo puedes utilizar un tema en un sitio de WordPress, no tiene mucho sentido dejar instalados temas que no utilizas. Para mejorar la seguridad de WordPress, considera la posibilidad de eliminar los inactivos. Si los necesitas en el futuro, puedes reinstalarlos rápidamente.
7. Realice regularmente copias de seguridad de su base de datos
Dónde: cPanel
Además de exportar su contenido a través del administrador de WordPress, también puede ser útil crear copias de seguridad de la base de datos. Puedes hacer una copia de seguridad de tu base de datos a través del cPanel de tu cuenta de alojamiento. Elija el menú Archivo > Copias de seguridad en su cPanel y descargue su archivo de copia de seguridad SQL. Si algo va mal, puede restaurar rápidamente su base de datos completa utilizando el archivo de copia de seguridad.
Algunos planes de alojamiento incluyen también una opción de copia de seguridad automática de la base de datos. Si quiere asegurar su base de datos, considere elegir un plan de alojamiento en el que su proveedor de alojamiento se encargue de la copia de seguridad.
8. Cambiar el prefijo de la tabla de la base de datos
Dónde: wp-config.php
Por defecto, WordPress utiliza el prefijo wp_ para las tablas de la base de datos. Para hacer su sitio más seguro, puede utilizar un prefijo de tabla más complicado cambiando el valor de la variable $table_prefix en su archivo wp-config. Tenga en cuenta que sólo puede utilizar números, letras y guiones bajos en el prefijo de la tabla. Cualquier otro carácter, por ejemplo caracteres especiales, resultará en un prefijo de tabla inválido.
9. Forzar el inicio de sesión seguro
Dónde: wp-config.php
Obligar a los usuarios a entrar en el área de administración a través del protocolo seguro SSL puede aumentar considerablemente la seguridad de WordPress. Sin embargo, sólo puede hacerlo si tiene un certificado SSL instalado en su sitio. Puedes comprar un certificado SSL en tu proveedor de alojamiento, aunque hoy en día muchos planes de alojamiento vienen con el certificado gratuito Let’sEncrypt.
Con el certificado SSL, puede utilizar el protocolo seguro HTTPS para el área de administración o para todo el sitio. Puede forzar a los usuarios a iniciar sesión a través del enlace seguro https:// añadiendo la siguiente línea en la parte superior de su archivo wp-config:
| 1 | define( ‘FORCE_SSL_ADMIN’, true ); |
10. Desactivar modificaciones de plugins y temas
Dónde: wp-config.php
Por defecto, los usuarios administradores pueden editar los archivos de los plugins y los temas desde la administración de WordPress. En un mundo perfecto, esta sería una gran característica, sin embargo, si un atacante malintencionado obtiene acceso a sus cuentas puede volverse peligroso también.
Puede desactivar los editores de plugins y temas para los administradores añadiendo la siguiente línea a su archivo wp-config:
| 1 | define( ‘DISALLOW_FILE_EDIT’, true ); |
Si no sólo quiere desactivar los editores de plugins y temas, sino que también quiere impedir que los administradores actualicen los plugins y los temas desde la administración de WordPress, utilice la siguiente regla:
| 1 | define( ‘DISALLOW_FILE_MODS’, true ); |
No uses ambas constantes al mismo tiempo. Si quieres actualizar plugins y temas como administrador de WordPress usa DISALLOW_FILE_EDIT. Si no te importa realizar las actualizaciones desde el fondo (vía SFTP) usa DISALLOW_FILE_MODS en su lugar.
11. No permitir HTML sin filtrar
Dónde: wp-config.php
WordPress permite a los administradores y editores publicar marcas HTML y código JavaScript (dentro de una etiqueta <script>) desde páginas, entradas, widgets y comentarios. Sin embargo, esto puede ser peligroso si su cuenta se ve comprometida. Puede filtrar el HTML que publican añadiendo la siguiente regla a su archivo wp-config:
| 1 | define( ‘DISALLOW_UNFILTERED_HTML’, true ); |
De este modo, el HTML y el JavaScript que publiquen no se ejecutarán. En su lugar, aparecerá en el sitio web como una cadena de texto sin formato.
12. Denegar el acceso a su archivo wp-config
Dónde: . htaccess
Por defecto, cualquiera puede acceder a su archivo wp-config que contiene todas sus configuraciones como el nombre de la base de datos, el nombre de usuario, la contraseña, la sal y otros datos altamente sensibles. Puedes denegar el acceso al archivo wp-config añadiendo el siguiente fragmento de código a tu archivo . htaccess:
| <Files wp-config.php> Order Allow,Deny Deny from all </Files> |
Coloque el fragmento de arriba debajo de las reglas de reescritura en la etiqueta por defecto de WordPress . htaccess file pero por encima de la etiqueta de cierre </IfModule>.
13. Denegar el acceso a todos sus archivos . htaccess
Dónde: . htaccess
También es posible denegar el acceso no autorizado a todos los archivos . htaccess de su instalación de WordPress. Sus archivos .htaccess contienen la configuración de su servidor Apache, sin embargo están disponibles públicamente en el navegador.
Si escribes http://yoursite.com/.htaccess en la barra de URL de tu navegador puedes comprobar si tu archivo principal . htaccess puede ser accedido por cualquier persona en Internet. Utilice la siguiente regla . htaccess para proteger sus archivos . htaccess:
| <Files~ «^.*\\N-([Hh][Tt][Aa])»> Order Allow,Deny Deny from all Satisfy all </Files> |
14. Desactivar el acceso a XML-RPC
Dónde: . htaccess
WordPress utiliza el protocolo XML-RPC que puede ser utilizado tanto para la publicación remota como por aplicaciones de terceros para conectarse a su sitio. Sin embargo, también es una vulnerabilidad de seguridad, ya que los atacantes pueden explotar esta función. Si no utiliza ninguna aplicación de terceros, considere la posibilidad de desactivar XML-RPC añadiendo el siguiente fragmento a su archivo . htaccess:
| <FilesMatch «^(xmlrpc\.php)»> Order Deny,Allow Deny from all </FilesMatch> |
Tenga en cuenta que algunos plugins populares de WordPress, como Jetpack, también utilizan la API XML-RPC. Si quieres usar Jetpack no desactives el acceso a XML-RPC.
15. Desactivar la exploración de directorios
Dónde: . htaccess
Aunque muchos usuarios de WordPress no lo saben, algunos de los directorios de WordPress pueden aparecer en el navegador de la siguiente manera:
El acceso público a su árbol de directorios puede ser extremadamente dañino para la seguridad de WordPress, ya que cualquiera puede obtener mucha información sensible sobre su instalación. Puedes desactivar la función añadiendo la siguiente línea a tu archivo . htaccess:
| 1 | Opciones -Índices |
Más información sobre optimización y seguridad