Cómo proteger al blog de WordPress de continuos ataques

Existen diferentes formas en las que un hacker puede llegar a atacar nuestro sitio web, algo que podría llegar a tomarnos por sorpresa en cualquier instante cuando veamos que la información publicada por parte del editor, no es la que corresponde o simplemente, que ha sido eliminada por completo.

Otra situación que podría llegar a darse se encuentra en el acceso hacia el Panel de Administración de WordPress o al mismo directorio de archivos vía ftp. Nadie se da cuenta de este tipo de situaciones hasta que no llega a sufrir las respectivas consecuencias, situación de la cual se han llegado a encontrar una gran cantidad de personas al notar, que su acceso hacia cualquiera de estos dos entornos «ya no es posible». Si esto te llegase a ocurrir, lo recomendable esta en comunicarse con el administrador del web hosting para que ofrezca una ayuda inmediata. De esta manera, nuevas credenciales podrían ser facilitadas tanto para el acceso hacia el «panel de administración» como al directorio de archivos, siendo este último entorno aquel que generalmente lo vemos cuando utilizamos a un cliente como el de FileZilla.

A continuación mencionaremos a unas cuantas sugerencias que podrían ser ejecutadas, por un administrador del blog de WordPress sin muchos conocimientos en programación ni en seguridad avanzada. Debido a que se intentará utilizar determinadas técnicas para fortalecer la seguridad del blog de WordPress, es necesario que el ordenador en donde trabajemos con cada una de las tareas encomendadas, se encuentre libre de virus. A pesar de ser una situación muy difícil de descifrar, pero bastaría con tener un buen sistema antivirus (adquirido de forma legal) y que se encuentre actualizado en su base de datos respectiva.

¿Cómo puedo proteger a mi blog desde el ordenador PC?

1. Utilizar contraseñas seguras

Este es un aspecto muy importante que lo recomiendan expertos informáticos, situación que también se la debe adoptar en un blog de WordPress o cualquier sitio web basado en una plataforma distinta. En la más reciente versión de WordPress, los desarrolladores de este Gestor de Contenido CMS han colocado un sistema que reconoce la «fortaleza de la contraseña». Este puede ser un pequeño parámetro para saber si estamos utilizando al recurso de forma debida y correcta.

Hasta hace un tiempo atrás se sugería utilizar contraseñas que consten de unos 10 o 15 caracteres y que además, sean palabras mayúsculas o minúsculas así como también, números y caracteres especiales. Ahora mismo se sugiere que este tipo de técnicas tienen que ser mejor desarrolladas, pues la contraseña tiene que estar formada de diferente tipo de caracteres alfa numéricos en una distribución aleatoria. Una excelente herramienta que nos puede ayudar a ello es LastPass, contenedor de contraseñas que tiene la capacidad de guardar a todas las que utilicemos en distintos entornos (sitios web, acceso a banca en línea, redes sociales y mucho más) para ser manejados por una «contraseña maestra».

Puedes acudir a cualquier otra herramienta similar aunque, LastPass siempre recordará la contraseña maestra y nunca te solicitará que ingreses a las contraseñas de acceso originales. Esta herramienta la puedes conseguir completamente gratis siempre y cuando la utilices de forma personal y en un sólo equipo; cuando vayas a registrar tus datos en un nuevo sitio web, LastPass activará a su «generado de contraseñas», debiendo elegir el número de caracteres así como también la distribución de los mismos para poder tener una «muy fuerte» que sea difícil de descifrar.

2. No utilizar el nombre de usuario «Admin»

Cuando alguien ha adquirido a las credenciales de acceso hacia su blog de WordPress, quien le está facilitando el servicio generalmente le entregará un nombre de usuario y una contraseña para su ingreso. Estos datos son los convencionales, los cuales podría llegar hacer lo siguiente:

  • Nombre de usuario: Admin
  • Contraseña: 12345

Un hacker llegará a utilizar estos datos como contraseña de acceso en su primer intento, situación que le será muy fácil manejar dentro del panel de administración del blog de WordPress si el respectivo Administrador no se ha preocupado en cambiar esta información por una diferente. Lo mejor que se puede hacer, es crear un nuevo usuario con un nombre de administrador diferente y con los roles que le corresponde. Posteriormente a ello se debe de ingresar hacia dicha cuenta (el nuevo administrador) y dirigirse hacia los perfiles de los usuarios para eliminar al anterior. Los hackers generalmente utilizan a herramientas para descifrar las credenciales de acceso en el modo de «fuerza bruta», lo cual quiere decir, que la herramienta empezará a realizar diferente tipo de combinaciones y correlaciones para tratar de obtener la contraseña y nombre de usuario de acceso hacia un sitio web.

3. Mantener actualizado a WordPress

Este viene a ser uno de los típicos errores que suelen cometer la mayoría de administradores de un sitio web. Algunos de ellos se mantienen con una versión antigua de este Gestor de Contenido, lo cual se debe primordialmente a la compatibilidad que tiene dicha revisión con las «Plantilla» y los distintos plugins que estar utilizando en dicho instante. Esto no debería ser el pretexto para seguir manteniendo una versión antigua (caduca) de WordPress pues la seguridad podría estar peligrando en todo momento. Siempre es necesario estar atento a los diferentes mensajes de notificación para realizar una nueva actualización de este Gestor de Contenido, lo cual de manera primordial tiene la intención de «tapar agujeros» que han sido descubiertos y que podrían ser vulnerados por un hacker.

4. Ocultar la versión de WordPress en el blog

Cada versión de WordPress tiene diferente tipo de estructura y características; si un hacker logra identificar el número de revisión que esta utilizando un blog, las herramientas que utilizará para intentar vulnerar al sitio web estarán establecidos de acuerdo a este dato. Por tal motivo, es necesario «ocultar la versión» de WordPress que se esta utilizando en el blog.

ocultar la version de wordpress

El código que hemos colocado en la parte superior te ayudará a ocultar la versión de WordPress en tu blog; al mismo lo tienes que colocar dentro del archivo «funciones.php».

5. Utilizar únicamente plugins y Plantillas de WordPress confiables

Si vamos a instalar un número determinado de plugins, que esta tarea tenga que ser realizada desde el repositorio de WordPress; existen muchos lugares desde donde se pueden llegar a conseguir estos mismos plugins en sitios web distintos, lo cual involucra primordialmente, a servidores de datos ilegales del tipo P2P. Quizá debieses pensar por un momento, la razón por la cual un plugin gratuito esta alojado en dicho sitio web. La respuesta es simple, pues ello simplemente podría representar a que el plugin fue copiado y adulterado con algún código malicioso. También podría darse la situación, de que un plugin «de pago» alojado en el repositorio de WordPress puede estar disponible en otros sitios diferentes.

En cualquiera de los casos siempre hay que tener cuidado, pues los plugins que se encuentran fuera del repositorio con seguridad que pudiesen llegar a tener un «código malicioso» incrustado. Existen determinado número de herramientas que puedes utilizar para saber si los plugins o las Plantillas de WordPress a utilizar desde fuera del repositorio, tienen algún tipo de amenaza incluida:

TAC o Theme Authenticity Checker es un plugin que te ayudará a verificar la autenticidad de una Plantilla para WordPress.

Sucuri es otro plugin que puedes intentar conseguir desde el repositorio de WordPress, para realizar una búsqueda profunda de cualquier amenaza o código malicioso que pueda estar presente dentro de tu sitio web.

Exploit Scanner viene a ser una alternativa al plugin que mencionamos anteriormente, el cual también se dedica a tratar de buscar algún tipo de amenaza (principalmente, código malicioso) en tu blog de WordPress.

5. Elimina a plugins no deseados o no utilizados

Si ya te has decidido por utilizar un número determinado de plugins así como también, a una Plantilla para WordPress específica, entonces no tiene sentido tener guardadas a otras adicionales. En cada actualización, WordPress suelen integrar a una nueva propuesta (plantilla), a la cual la podríamos eliminar si no la vamos a utilizar en ningún instante. Con ello evitaremos que las notificaciones de una nueva actualización para plugins o Plantillas de WordPress lleguen a aparecer. La situación de real importancia no involucra a estas notificaciones sino más bien, a que alguno de estos elementos podrían estar provocando algún tipo de incompatibilidad con los que estamos utilizando actualmente.

6. Hacer Uso de las Claves de Seguridad para WordPress

En WordPress se pueden llegar a utilizar las conocidas «claves de seguridad», algo que viene de la mano de la misma plataforma y sus desarrolladores. Para hacer uso de ellas solamente tendrías que dirigirte hacia su respectivo enlace (hacer clic aquí), lo que te generará dichas claves. Las mismas las podrás copiar dentro del archivo wp-config.php aunque, a dicha tarea se la recomienda realizar a alguien que conozca perfectamente bien sobre tal aspecto de seguridad. Te recomendamos realizar una conversación mediante el chat interno como los administradores de Factoría Digital para que puedan ofrecerte mayor información sobre este tema tan importante.

7. Desactivar la edición de algunos archivos en WordPress

Si has ingresado hacia el Panel de Administración de WordPress (específicamente a su Escritorio) podrás haber notado, que desde la apariencia se tiene la posibilidad de utilizar al Editor, el cual nos ayudará a realizar unas cuantas modificaciones tanto en la plantilla como en los plugins que hemos instalado. Esta tarea la tiene que manejar de forma exclusiva el Administrador del sitio web, algo que no le corresponde en absoluto al redactor ni colaborador. Por tal motivo, debes asignar determinadas tareas y roles para los redactores aunque, también podría llegar a utilizar el siguiente código:

define('DISALLOW_FILE_EDIT', true);

Al mismo lo tendrás que copiar y pegar en el archivo wp-config.php, con lo que bloquearás cualquier tipo de edición inclusive, al administrador del sitio web.

8. Proteger al archivo wp-config.php

Si hemos venido mencionando en las sugerencias anteriores al archivo wp-config.php, entonces también deberíamos considerar en proteger al mismo. Con ello evitaremos que cualquier tipo de intrusión maliciosa tenga la posibilidad de realizar algún tipo de variación y peor aún, de eliminarlo. Te sugerimos agregar las siguientes líneas al archivo .htaccess.

proteger archivo wp-config en wordpress

9. Proteger al archivo .htaccess

Igual situación debemos hacer con el archivo ,htaccess pues si en el mismo hemos copiado el código que sugerimos anteriormente, también es necesario tratar de protegerlos de alguna manera. Para ello, solamente tendremos que agregar las siguientes líneas en dicho archivo:

proteger al archivo htaccess en wordpress

10. Dejar de mostrar el mensaje de error en el inicio de sesión

Cuando vas a ingresar hacia el Panel de Administración de WordPress inevitablemente deberás ingresar con las credenciales. Ello representa tanto al nombre de usuario como a la respectiva contraseña. Si te llegas a equivocar en alguno de dichos términos, inmediatamente aparecerá un error en donde se te notificará que has escrito a uno de los elementos de forma errónea. Ello quiere decir, que este mensaje podría estar anticipando a un hacker que se ha escrito mal a la contraseña y en cambio, que el nombre de usuario si ha sido el correcto.

add_filter('login_errors',create_function('$a', "return null;"));

La línea que hemos colocado en la parte superior te servirá para poder copiarla en el archivo «funciones.php», la cual desactivará el mensaje de error y por tanto, nos dará ningún tipo de pista a quien esta intentando ingresar de forma ilegal a tu sitio web con WordPress.

Por el momento te hemos sugerido a 10 consejos prácticos que puedes utilizar en cualquier momento para fortalecer la seguridad de tu blog de WordPress; existen muchas otras alternativas adicionales que podríamos estar comentando en este mismo instante aunque, ello ya involucra un conocimiento mayor así como también, especializado. Lo sugerido (en la mayoría de los casos) no involucra una gran complejidad y por tanto, puede ser realizado sin ningún problema por un bloguero completamente nuevo. A pesar de ello, siempre es necesario tomar en cuenta la recomendación que hemos realizado en distintas ocasiones, es decir, la posibilidad de realizar una copia de seguridad manual o completa de todo el contenido del sitio web pues si algo llegase a fallar, tendremos la certeza de que la información no se llegará a perder porque la podríamos recuperar fácilmente con esta copia de seguridad.

He trabajado con Wordpress durante largos años, conociendo cada uno de sus trucos en las varias versiones desarrolladas. Dar a conocer éstos trucos mediante videos y posts, es un orgullo para que muchos, puedan aplicarlos a sus respectivos blogs.

Publicaciones Similares