Seguridad en WordPress

Este ebook es una introducción al SEO para WordPress y si te lo has descargado entiendo que entre tus objetivos quieres aprender a conseguir tráfico hacia tu sitio web, cuando más mejor, e igualmente piensas en convertirlo, cuanto más tráfico conviertas mejor.

Si no me equivoco en mis argumentos interpretó que estás muy sensibilizado con el SEO y seguro que hasta ahora este libro está siendo de ayuda para ti. Hasta aquí fantástico, porque ese es uno de los objetivos del ebook.

En este capítulo amigo lector, tengo la sana intención de sensibilizarte con la seguridad de tu WordPress, por lo que me sentiré gratamente satisfecho si consigo que inviertas parte de tu tiempo en pensar en ello y no sólo en el SEO. Ese será uno de mis objetivos hoy.

Introducción

Este ebook es una introducción al SEO para WordPress y si te lo has descargado entiendo que entre tus objetivos quieres aprender a conseguir tráfico hacia tu sitio web, cuando más mejor, e igualmente piensas en convertirlo, cuanto más tráfico conviertas mejor.

Si no me equivoco en mis argumentos interpretó que estás muy sensibilizado con el SEO y seguro que hasta ahora este libro está siendo de ayuda para ti. Hasta aquí fantástico, porque ese es uno de los objetivos del ebook.

Ahora bien, te hago esta pregunta: ¿estás igualmente sensibilizado ante el hecho de que todo tú tiempo, trabajo y esfuerzos SEO se pueden esfumar de un plumazo si no inviertes en mecanismos para asegurar tu WordPress?

Dicho de otro modo:

No preocuparte por la seguridad de tu WordPress

puede afectar directamente a tu SEO

En este capítulo amigo lector, tengo la sana intención de sensibilizarte con la seguridad de tu WordPress, por lo que me sentiré gratamente satisfecho si consigo que inviertas parte de tu tiempo en pensar en ello y no sólo en el SEO. Ese será uno de mis objetivos hoy.

Ahora bien, tengo otro objetivo que me motiva aún más, conseguir que decidas ir un paso más allá y te mojes. ¿Cómo? Aplicando algunas de las medidas de sentido común que te voy a contar para fortalecer tu WordPress y evitar que tu SEO se vea perjudicado por un episodio oscuro en la seguridad de tu sitio.

Si tu web está en Internet va a ser atacada

Es la cruda realidad. Es más, no hay nada que puedas hacer para garantizarte una seguridad del 100%. Si alguien te dice lo contrario, te está mintiendo.

Esto puede parecer muy negro, sin embargo, hay una parte no tan oscura, la gran mayoría de ataques son ataques automatizados y ante estos, tenemos medios para prevenirlos y curarnos en salud.

¿Cómo puedo ver que mi página está siendo atacada?

Una forma de ver que tu web está siendo atacada consiste en instalarte el plugin Wordfence en tu WordPress, acceder a la opción Live Traffic y a continuación mirar la pestaña Pages Not found o páginas no encontradas.

En la imagen inferior (página siguiente) te muestro un ejemplo real de mi blog. Observa los detalles de la imagen y hazte estas preguntas:

¿Por qué alguien o algo intenta acceder a un archivo llamado dl-skin.php que se supone que es de un tema para WordPress llamado dejavu que ni siquiera está instalado? ¿Alguna explicación para este hecho?

De cualquier modo, el contenido del blog no está ahí, ¿qué es lo que está buscando ese alguien o algo?

La respuesta a estas preguntas es sencilla, te explico.

En general, los que van con malas artes están empleando alguna herramienta automatizada para intentar localizar algún hueco, esto es, alguna vulnerabilidad (plugins, temas, servidor, base de datos, etc, etc) por donde colarse en tu sitio y por supuesto, si lo consiguen, obrarán de forma oscura en su propio beneficio.

Obviamente no están buscando el contenido del blog.

Es más, si te vuelves a fijar, en uno de los casos aparentemente están intentando obtener una copia del archivo wp-config.php, archivo que contiene información muy sensible de los datos de configuración de tu WordPress.

Dejo a tu discreción que pongas a trabajar tu imaginación y pienses un momento que es lo que harían si se hacen con una copia de este archivo. Estarás de acuerdo conmigo en que nada bueno.

¿Quieres verlo bajo un prisma más grande?

Visita la web www.wordfence.com y observa el mapa interactivo que tienen en la portada. Te dejo una captura de pantalla. El mapa interactivo sólo muestra el 3% del movimiento de todos los ataques que se producen a WordPress en tiempo real en el momento que visitas el mapa.

Te puedes hacer una idea del interés que suscita WordPress a los que van con malas intenciones, ¿verdad? Pues protégelo amigo lector.

¿Por qué es importante la seguridad?

Siendo breves, te enumero tres razones:

• Porqué una web comprometida tiene consecuencias en tus esfuerzos SEO. Dicho de otro modo, perderá visitas de Google.
• Porqué una web infectada puede comprometer un servidor al completo. Dicho de otro modo, si una web comparte hosting con otras, éstas pueden verse comprometidas.
• Por qué una web infectada puede comprometer el ordenador de tus visitantes. Dicho de otro modo, los visitantes pueden verse perjudicados al visitar la web.
• Porque una web comprometida da una muy mala imagen a tus clientes y proveedores. Queda bastante feo ver pornografía en un sitio web dedicado a la venta de pasteles, por ejemplo.

En cuanto Google detecta que un sitio está comprometido, comienza el baile de notificaciones a sus usuarios.

¿Alguna vez has visto esta notificación –ver imagen superior- cuando has intentado acceder a un sitio web desde los resultados de búsqueda? ¿A qué eres cauto y precavido y decides no entrar?

Pues imagina ahora que eres tú el protagonista de esta historia, es decir, es tu web la que aparece en el cartel rojo.

¿Qué crees que te sucederá querido lector?

Pues que todo el trabajo y esfuerzo SEO realizado se marchará por la cuneta. De un plumazo se acabaron las visitas procedentes del buscador y si no reaccionas rápido tus rankings podrán verse perjudicados.

Si además tienes un e-commerce con WooCoomerce u otra herramienta que genera ventas a diario, no solo perderás visitas, es que también empezarás a perder un número significativo de ventas. Y esto impacta directamente en tu cuenta de resultados.

¿Qué porcentaje de tu tráfico proviene de Google?

Responder a esta pregunta te dará pie a valorar hasta qué punto te perjudica verte inmerso en esta situación.

Recuerda que Google no solo tiene interés en facilitar los mejores resultados para una palabra clave dada a sus usuarios, sino que además, quiere asegurarse de que el sitio al que van a acceder es seguro y no les va a perjudicar en modo alguno. En este artículo tienes más información.

La seguridad es responsabilidad de todos

La seguridad no solo depende de ti, hay diversos actores implicados y cada uno de ellos tiene su parte de responsabilidad.

Brevemente podemos enumerar algunos:

• El administrador del servidor.
  • Es responsable de la seguridad del servidor. Tu web puede verse en un compromiso por razones ajenas a ti relacionadas con las prácticas de administración del servidor.
• Tú como administrador de tu WordPress.
  • Eres responsable de la seguridad de tu WordPress. Tu web puede verse comprometida por causas directamente relacionadas con tu parte de responsabilidad.

• ¿Qué es lo que puedes hacer y decidir tú respecto a la seguridad?
  • Muchas cosas, entre otras, decidir que hosting contratar.
• Los diferentes usuarios que hayas dado de alta en tu WordPress.
  • Son responsables de sus contraseñas y equipos informáticos. Tu web puede verse comprometida por razones ajenas a ti relacionadas directamente con los usuarios de tu WordPress.

Dicho esto, si todos los actores desempeñan correctamente su parte, la seguridad en conjunto será la apropiada. De otro modo, pueden detectarse vulnerabilidades y alguien puede explotarlas.

La primera línea de defensa: el sentido común

Si bien la seguridad no es algo tan trivial como instalar un plugin de seguridad o presionar en un botón y ¡voila! tu sitio web está protegido por arte de magia, hay algunos medidas que si lo piensas bien son de sentido común.

Te enumero algunas:

1. Apuesta por alojar tu sitio o tus sitios web en servidores seguros. Esto es fácil decirlo pero, ¿cómo valoro yo que estoy contratando un servidor seguro? Te dejo tres ideas para valorarlo.
   1. Una de las cosas que haces es fijarte en que explícitamente hacen esfuerzos comerciales en apostar por la seguridad de sus servidores. Esto te da confianza.
   2. En algunos casos además, lees artículos como éstos donde no solo venden seguridad sino que además reaccionan rápido y adoptan medidas en sus servidores para que sus clientes no se vean afectados.
   3. Recomendaciones de terceros. Puedes valorar opiniones y recomendaciones de clientes que tú consideres relevantes para tomar una decisión.
2. Emplea temas y plugins en tu sitio web descargados de sitios de confianza.
   1. O bien del repositorio de WordPress o bien de proveedores de reputación reconocida.
   2. Cuidado con descargarte archivos con medicinas y de sitios de reputación oscura.
3. Emplea contraseñas fuertes para todo: login, FTP, panel del control, etc.
   1. Puedes apoyarte de LastPass, por ejemplo.
4. Mantén tus contraseñas seguras y no las compartas. Obvio.
5. Permanece al día de la actualidad de WordPress y los plugins y temas que emplees. Te permite tomar decisiones y adoptar medidas en caso de ser necesario.
6. Mantén copias de seguridad de tus archivos y carpetas de WordPress al igual que de la base de datos.
   1. Te recomiendo altamente qué diseñes un sistema de copias de seguridad automatizado o bien tengas la certeza de que tu proveedor de hosting hace copias de seguridad. No solo eso, pregúntales con qué frecuencia las hacen. Es importante saber la frecuenta porque así sabrás que copia de seguridad utilizar y cual no en caso de que tengas que hacer uso de ellas.

Fíjate que todas estas medidas que te he mencionado dependen exclusivamente de ti, es decir, están dentro de tu ámbito de responsabilidad.

Te pido ahora que pienses en ellas como si fueran capas y quédate con la idea de que la seguridad consiste en añadir capas, diferentes capas de protección a tu sitio.

Algunas te proporcionan más beneficios que otras, pero la suma de todas ellas en conjunto dará como resultado la seguridad global de tu sitio, incluidas las capas más triviales.

Pues bien, me gustaría que te quedes con la idea de que con solo con aplicar capas en base al sentido común estarás mejorando la seguridad global de tu WordPress notablemente.

Plugins para realizar copias de seguridad en WordPress

Una de las capas de seguridad relativas al sentido común es la capa que responde al hecho de hacer copias de seguridad de tu WordPress.

No tiene sentido comenzar un proyecto y tras un año trabajando en él, tener que enfrentarte a un problema serio, como por ejemplo, tener tu web infectada por un malware y darte cuenta entonces de que no tienes copias de seguridad. Por favor, que no te pase a ti.

Te voy a enumerar una relación de plugins que te facilitarán la tarea de realizar copias de seguridad. Con ellos podrás crear, controlar y mantener tus propias copias.

Los plugins son los siguientes: BackWPup, UpdraftPlus, Duplicator, BackupBuddy, WordPress Backup to Dropbox y BackUpWordPress.

Vamos a verlos con más detalles.

BackWPup

Se trata de un plugin gratuito con opción de pago. Actualmente cuenta con más de 300.000 instalaciones activas y con un ratio de críticas de 3.8 sobre 5.

Dispones de muchas opciones de configuración y te permite guardar tus copias en DropBox o Google Drive entre otros.

Tienes un completo tutorial de configuración aquí.

La restauración de las copias de seguridad, en mi opinión, no son sencillas de llevar a cabo. Tienes un tutorial aquí.

UpdraftPlus

Se trata de un plugin gratuito con opción de pago. Actualmente cuenta con más de 400.000 instalaciones activas y con un ratio de críticas de 4.9 sobre 5. Un dato realmente impresionante que denota el grado de satisfacción (me incluyo) que tenemos los usuarios con este plugin.

En mi opinión, no tiene una interfaz “tan bonita” como la de BackWPup pero es correcta para su propósito. Te permite también guardar tus copias en DropBox y en Google Drive entre otros.

Tienes un completo tutorial de configuración aquí.

El proceso de restauración es mucho más sencillo que en el caso anterior.

Tienes acceso a un exclusivo tutorial donde te muestro el proceso de restauración de una copia de seguridad con UpdraftPlus en el foro.

Duplicator

Se trata de un plugin gratuito. Actualmente cuenta con más de 400.000 instalaciones activas y con un ratio de críticas de 4.9 sobre 5. Otro plugin que también tiene un grado de satisfacción impresionante entre sus usuarios (también me incluyo).

En mi opinión, es un plugin fundamental cuando te enfrentas al escenario de migrar tu WordPress de un servidor a otro. Te aseguro que es mano de santo. Te permite generar un clon de tu WordPress a un archivo zip que junto con un archivo llamado installer.php te permite instalar todo tu sitio en otro servidor con una facilidad pasmosa.

Eso sí, requiere de cierta pericia técnica que si careces de ella puede resultar un reto aprovechar su potencial.

Si bien, para el escenario anterior es una herramienta más que apropiada, no te lo aconsejo como plugin para mantener un backup automatizado de tus copias de seguridad. De hecho, no tienes esta opción ni tampoco puedes configurarlo para subirlo a DropBox o a Google Drive.

BackupBuddy

Se trata de un plugin comercial desarrollado por ithemes.com. No está disponible desde el repositorio de WordPress pero me consta, por sus clientes y por personas cercanas que es un plugin excelente para mantener automatizadas tus copias de seguridad de WordPress.

Puedes guardar tus copias en DropBox, Amazon S3 y algún proveedor adicional.

Actualmente tengo acceso a esta herramienta y estoy valorando su desempeño en uno de mis dominios de pruebas.

La licencia más económica de 80$/año te da la posibilidad de emplearlo en dos sitios WordPress a la vez.

WordPress Backup to Dropbox

Se trata de un plugin gratuito. Actualmente cuenta con más de 100.000 instalaciones activas y un ratio de críticas de 3.9 sobre 5.

Personalmente no he tenido oportunidad de emplear este plugin, por lo que me reservo darte una opinión en un sentido o en otro. Dejo a tu discreción la decisión de emplearlo o no.

BackUpWordPress

Se trata de un plugin gratuito con opción de pago. Actualmente cuenta con más de 200.000 instalaciones activas y un ratio de críticas de 4.8 sobre 5. Denota un alto grado de satisfacción por parte de sus usuarios.

Personalmente tampoco he tenido oportunidad de emplear este plugin, por lo que me reservo darte una opinión en un sentido o en otro. Dejo a tu discreción la decisión de emplearlo o no.

Vista esta relación de plugins, creo que tienes suficiente material como para decidir con cuál de ellos te quedas.

Hoy por hoy de todos los que te he mencionado empleo dos de forma muy recurrente, UpdraftPlus y Duplicator.

Fortaleciendo tu WordPress

Ahora que te ha hablado de unas medidas de seguridad que obedecen al sentido común, de una relación de plugins para hacer copias de seguridad y de haberte puesto en conocimiento de la idea de las capas, te voy a mencionar otras capas adicionales de seguridad que son de sencilla aplicación y que redundarán en fortalecer tu WordPress ante ataques automatizados.

Prefijo de la base de datos

El prefijo de la base de datos de WordPress cuando realizas la instalación por primera vez es “wp_” (2). Este prefijo debes cambiarlo por otro.

Si ya tienes instalado tu WordPress y no sabes que prefijo tiene tu base de datos, en mi opinión, lo más sencillo es emplear el plugin iThemes Security para comprobarlo y cambiarlo si procede.

En la imagen inferior puedes ver el detalle correspondiente en la configuración de iThemes Security para cambiar el prefijo de las tablas de WordPress.

Claves secretas

Las claves secretas son una característica de WordPress que se implementaron en la versión 2.6. Redundan en una mejora del proceso de login.

No voy a entrar en detalles técnicos pero te diré que es una capa de seguridad muy sencilla de aplicar.

Otra vez me remito al plugin iThemes Security donde con tan solo un clic de ratón podrás configurar las claves secretas.

En el menú Security, Advanced, WordPress Salts puedes localizar lo que te muestro en la imagen inferior.

La idea es marcar la casilla de verificación y presionar sobre el botón Change WordPress Salts. Nota: requiere volver a logarte en el sitio.

En esta otra imagen lo puedes ver con más detalle

Usuario de administración distinto de admin

El usuario de administración por defecto de WordPress será el usuario admin a no ser que indiques lo contrario en el proceso de instalación.

Evita dicho usuario porque los van con malas artes te aseguro que lo emplean como usuario comodín en sus herramientas automatizadas. Cámbialo.

El archivo .htaccess

El archivo .htaccess es un archivo que se crea en la raíz de tu sitio cuando activas la configuración de enlaces permanentes dentro de los ajustes comunes de tu WordPress.

Por defecto, cuando guardas los cambios de tus enlaces permanentes, en el archivo .htaccess sólo se generan las directivas de WordPress para que se activen las URL amigables.

Ahora que ya tienes el archivo .htaccess creado en la raíz de tu sitio lo podrás emplear para configurar algunas directivas de seguridad.

En este capítulo te mostraré brevemente un único ejemplo de que lo que puedes hacer con el archivo .htaccess dado que no es el propósito del mismo profundizar en la configuración de éste.

Si tienes inquietudes con las posibilidades de este archivo y no quieres bucear por aquí y allá en artículos de Internet, te recomiendo la lectura del libro htaccess made easy, escrito por Jeff Star.

Nota. El archivo .htaccess es un archivo que hay que tratar con especial cuidado porque una manipulación inapropiada del mismo podría tumbar tu web. Precaución aquí.

Evita que se muestre el contenido de los directorios con .htaccess

Un ejemplo en la configuración sencillo y muy útil que puedes configurar en tu archivo .htaccess el evitar que se muestre el contenido de tus directorios.

Para ello introduce en tu archivo .htaccess estas dos líneas inferiores. La primera línea sirve para comentar el texto, solo eso.

# Directiva para deshabilitar que se muestre el contenido de los directorios

Options –Indexes

Nota. Te adelanto que con el plugin iThemes Security podrás activar esta opción sin necesidad de editar manualmente el archivo.

Tienes más información y detalles de configuración de este archivo aquí.

Empleo de plugins

Puedes fortalecer tu WordPress instalando un plugin de seguridad o varios combinados entre sí.

En mi opinión, es una práctica altamente recomendable ya que te hace la vida más fácil y de un modo ágil te permite configurar diversas capas de seguridad en tu WordPress.

Te enumero cinco plugins de seguridad con buena crítica altamente recomendados: iThemes Security, Wordfence, Security Ninja, AIO WP Security & Firewall Plugin, BulletProof Security

La idea no es instalártelos todos, sino emplear uno de ellos o una combinación de ellos.

De los mencionados antes hay dos que destacan por el alto volumen de instalaciones activas que tienen, iThemes Security y Wordfence. En estos momentos tienen más de 600.000 instalaciones activas cada uno.

iThemes Security

Cuenta con más de 600.000 instalaciones activas. El ratio de críticas es de 4.7 sobre 5. Dispones de una versión gratuita y tienes la posibilidad de adquirir el plugin premium. Lo puedes descargar desde el repositorio de WordPress.

Te ayuda en la configuración de más de 30 opciones para proteger tu sitio web o blog.

Tienes un tutorial ampliado sobre Better WP Security y un artículo extendido sobre iThemes Security. Si quieres aprender a configurarlo, te recomiendo que te des una vuelta por esos artículos.

Security Ninja

Más de 2700 compras. Tiene un ratio de críticas de 4.51 puntos sobre 5. Lo puedes conseguir en codecanyon.net. Se trata de un plugin de pago muy económico (10$) con buena crítica.

Wordfence

Cuenta con más de 800.000 instalaciones activas. Tiene un ratio de críticas de 4.9 sobre 5. Es gratuito con opciones de pago premium.

Lo puedes descargar desde el repositorio de WordPress. Tienes un completo tutorial sobre este plugin aquí.

AIO WP Security & Firewall Plugin

Más de 100.000 instalaciones activas. El ratio de críticas es de 4.9 sobre 5. Lo puedes conseguir en el repositorio de WordPress y es completamente gratuito.

BulletProof Security

Más de 100.000 instalaciones activas. Tiene un ratio de críticas de 4.8 sobre 5. Lo puedes conseguir en el repositorio de WordPress. Es gratuito aunque cuenta con una versión de pago profesional a un coste de 60$.

Más información

Este capítulo se ha elaborado gracias a la documentación recopilada en Internet, gracias al libro TAO of WordPress, a la guía práctica de seguridad disponible para descarga desde mi blog y a mi humilde experiencia aplicando configuraciones de seguridad a mi propio blog y a los blogs de los clientes que pasan por mis manos.

Fuentes:

• http://blog.sucuri.net/
• http://www.wordfence.com/
• https://wpvulndb.com/
• http://www.bluecorona.com/blog/website-security-rankings
• http://www.bluecorona.com/blog/help-my-wordpress-site-has-been-hacked-0
• https://www.google.com/intl/es/webmasters/hacked/
• http://blog.sucuri.net/2015/03/the-impacts-of-a-hacked-website.html
• https://www.siteground.com/blog/wordpress-seo-by-yoast-vulnerability/
• https://www.siteground.com/blog/cryptophp-infection/
• http://wp-tao.com/
• http://googleblog.blogspot.com.es/2015/03/protecting-people-across-web-with.html
• http://www.administrandowp.com/seguridad-wordpress-guia-practica/

Si quieres profundizar un poco más en las medidas de seguridad que puedes aplicar en tu WordPress te invito a descargarte mi guía práctica de seguridad disponible en mi blog.

De ahora en adelante

La seguridad es importante para permanecer online pero una vez has alcanzo un objetivo marcado tienes que trabajar constantemente en optimizar tu sitio para ser competitivo.

Ahora sí, centra todos tus esfuerzos en el SEO, en las conversiones de tu sitio, en atraer tráfico de redes sociales, etc. Todo ello en función de la estrategia que te hayas marcado.

Eso sí, hazlo a sabiendas de que tienes tus deberes hechos en lo relativo a la seguridad de tu WordPress.

¿Prefieres que alguien lo haga por ti? Contacta conmigo.