40 Pasos Para Proteger tu WordPress al Máximo

Mantener un blog basado en WordPress, sin importar su dimensión, no es tarea fácil pues requiere una curva de aprendizaje importante hasta llegar a controlar con fluidez su forma de administración, los diversos themes y plugins, y sobretodo su seguridad y las múltiples peleas con el código, que no suele ser tan límpio como parece.

Es bueno saber, que además de la calidad del contenido, la usabilidad y el SEO que se realice, debe cuidarse la base fundamental de nuestra web como es el hosting y las medidas de protección que adoptemos, pues en buena medida afectan directamente a los parámetros citados anteriormente.

Seguridad WordPress 2012

Si tienes un blog o dispones ya de una red de contenidos basada en wordpres y quieres automatizar un poco el proceso o la parte dedicada a la seguridad, te damos 40 consejos básicos de protección que deben incluirse en cualquier proyecto en la red:

Asegura tu Protección Local – Plan de Trabajo

1. Debes mantener un PC o laptop limpio. Con actualizaciones automáticas activadas en caso de Windows, si puede ser.

2.Trabaja con un usuario que no tenga privilegios de administrador.

3. Utiliza software antivirus y firewall conjunto (que analice también el tráfico wifi). Condición: actualizados diariamente de forma automática.

4. Si puedes virtualizar un sistema para trabajar, mejor. Esto reduce el riesgo de infecciones y archivos corruptos. Sugerencia: VirtualBox.

5. Protege tu navegador. En el caso de Firefox, puedes usar la extensión noscript. Para almacenar contraseñas, utiliza un gestor de passwords fiable como Keepass o LastPass. En el caso de e-mails, intenta encriptar los correos con alguna aplicación gratis como Enigmail o PGP.

6. Lista de aplicaciones gratis para estas tareas (MalwareBytes, CleanUp, Argente Utilities, Combofix, CCleaner, Avira Free, AVG Free, DefenseWall, ZoneAlarm…).

7. Utiliza un sistema de backup contínuo en tus carpetas de proyectos, ya sea mediante un NAS o sincronizando con un disco duro virtual en la nube (DropBox, SugarSync, JustCloud, MiMedia, Box.net, Amazon S3,…). Otro consejo es encriptar o proteger mediante password la carpeta de trabajo.

Seguridad Local PC

Protección a nivel de Hosting y de Instalación WordPress

8. Registra tu dominio en un agente acreditado, que te permita como mínimo bloquear transferencias y modificaciones, ver el auth code (EPP) y cambiar las DNS sin problema y sin depender del soporte. Fundamental y obligatorio para empezar cualquier proyecto en internet.

9. Aloja tu dominio en un hosting seguro, fiable y que te asegure (y demuestre) que ha adoptado las medidas de seguridad necesarias (actualizaciones del sistema frecuentes, instalación de módulos de seguridad, antivirus y firewall – Mod_Security, APF, CSF, Suhosin, Mod_evasive, QMail, SpamAssasin, DrWeb, rkhunter,.. -, correctamente configurados (según el sistema), actualización de blacklist tipo spamhaus, protección DDoS,…) y, si es posible, que disponga de servicios de backup, mínimamente semanal. Si es un VPS, cloud o un dedicado sin administrar, deberás responsabilizarte de esto o subcontratar a una persona que te haga esta faena cada X tiempo. Una vez instalado todo correctamente, no hace falta que revise cada día. La recomendación es mensual o trimestral para pequeños proyectos que no muevan mucho tráfico ni tampoco actualicen frecuentemente.

10. Conecta siempre al panel de tu hosting o al sistema de archivos a través de SSH y SFTP respectivamente. Revisa la versión del panel y si queda desactualizado, avisa al soporte y pregunta las razones que tienen para no hacer un update (a veces son incompatibilidades con apache, php, sistemas de caché..pero otras son por despiste o por descuido). Las actualizaciones sólo tienen 2 motivos: mejorar y proteger aún más.

11. Evita el shared hosting para proyectos importantes o ecommerce y, si no puedes permitírtelo, almenos compra una IP dedicada para tu blog. Recuerda que si un vecino tuyo es baneado por Google u otro buscador, también banearán el rango de IP dónde está tu web.

12. Usa herramientas de monitorización del estado del servidor tipo Pingdom, UptimeRobot o cualquier Ping Monitor que te avise cuando una web está caída por culpa del server. Localiza y Testea previamente en tu host que recibes los logs de error.

13. Descarga WordPress desde su sitio oficial, evita autoinstaladores. Así podrás dar de alta las bases de datos, usuarios y passwords de forma manual (largos, complicados, no relacionados y evita el usario ‘admin’) usando wp-admin/install.php. Evita instalar plugins que no sean del repositorio.

14. Protege .htaccess, wp-config y wp-admin asignándoles como mínimo CHMOD 644. Asegúrate de borrar wp-install.

15. Blinda WP y el .htaccess con directivas de seguridad, y añade la 5G Blacklist 2012 de Perishable Press necesaria (puedes hacerlo con algunos plugins gratuitos). Puedes editar también el archivo robots.txt para bloquear algunos rastreadores y spambots, pero es poco efectivo.

16. Recuerda que los permisos estándar para wordpress son: carpetas (755) y archivos (644). Algunas carpeta como wp-uploads o de caché pueden requerir un aumento a 775 o 777 en algunos servidores (habla con los administradores para solventar esto).

17. Puedes mover el wp-config.php y el wp-content de la carpeta dónde está alojado wordpress y así evitar que los exploits te detecten.

Configuración del Servidor para WordPress

Protección a Nivel de Core, Plugins y Login

18. Actualiza siempre a la última versión de WordPress, así como todos los plugins que lo requieran. Haz una copia de la base de datos y del contenido antes, ya que pueden darse incompatibilidades en muchas ocasiones. Para monitorizar tus sitios en wp y recibir alertas sobre tus sitios es recomendable usar WP Remote.

19. No dejes que los plugins modifiquen los permisos. (Algunos, te avisarán como W3 Total Caché). Sugerencias: Instala Wordfence (el más actual de todos), WP Security Scan, Ultimate Security Check, Exploit Scanner o WP File Monitor para que puedas monitorizarlo y corregir vulnerabilidades que puedan causar estas acciones. Algunos de ellos te permiten modificar parámetros como: ocultar la versión de wp, cambiar el prefijo de la base de datos, ocultar el modo debug, etc…

20. Blinda la carpeta wp-admin, o bien si puedes, fuerza la autentificación mediante SSL.

21. Instala plugins de seguridad en la autentificación (Login Lock,Login Lockdown,Stealth Login). Si en tu blog partipan más usuarios, recuerda asignarles roles a cada uno de ellos (existen diversos plugins que automatizan el proceso).

22. Para usuarios avanzados mejor usar BulletProof Security, WP Firewall 2 o Ask Apache. Además del login, crearán los archivos .htaccess necesarios para protegerte de los ataques más conocidos (antiflood, hotlinking, cross-script,sql injection…).

23. Si quieres optimizar al máximo el rendimiento y seguridad de WordPress (filtrar spam, inyecciones SQL, spambots, etcétera,…) tienes una solución muy completa y gratuita (los servicios mínimos) al instalar Cloudflare.

Seguridad WordPress Interna

Protección a nivel de spam e inyecciones de código en Comentarios

24. Instala plugins antispam y que reduzcan el consumo de cpu por consulta php innecesaria (Sugerencias: akismet + API Key, spam free, bad behavior + http:BL Key o Block Bad Queries).

25. Instalar User Spam Remover cuando detectes una alta actividad de spam en tu blog (si has instalado alguno de los primeros, es posible que no lo necesites). WP-Spam Free también es una alternativa para evitar comentarios no deseables.

26. Complementa los formularios de contacto y de comentarios con plugins captcha. Sugerencias: Really Simple Captcha, NuCaptcha, SI Captcha.

27. Si quieres evitar fórmulas de backlinking, puedes eliminar el campo “sitio web” en el formulario de comentarios, así como deshabilitar trackbacks o pingbacks (ojo, esto te puede restar tráfico web o afectar en el SEO).

28. Usa soluciones alternativas de externalización de comentarios como IntenseDebate o Disqus Comments (te reducirán considerablemente las queries a la base de datos y filtrarán spammers).

WP Spam Security

Protección de Bases de Datos y Política de Backup

29. Haz una copia de seguridad de tu blog mínimo 1 vez a la semana pero si es posible hazlo diariamente, dejando las 3 últimas copias que se han realizado últimamente. Las copias nunca las dejes en el mismo repositorio o en otra carpeta del propio hosting, tienen que externalizarse (otro ftp, vía cloud storage o por e-mail y descarga a local). Intenta mantener 2 localizaciones no coincidentes para tus copias. Es mejor hacerlo automáticamente desde tu panel de hosting que con plugins (los plugins te ayudarán a recuperar más rápido la información en caso de querer restaurar el sitio).

30. Instala un plugin para respaldar WordPress. Sugerencia: WP-DB Manager, WP-DB Backup, Backwpup o Xcloner. La mayoría de éstos permiten salvar y recuperar base de datos, localmente y en otros sitios como Amazon S3 o Dropbox. Además, son capaces de activarse mediante Cron para que puedas programar el horario de tus copias. Además de los 2 mencionados, puedes usar servicios gratis de Cloud Storage tales como SugarSync, SkyDrive, MiMedia y Box.net.

31. Utiliza servicios externos de backup en caso de no querer complicarte demasiado. Algunos lo hacen anivel de Worpdress y otros a nivel de hosting completo. Dependiendo de tu servidor o el tipo de webhosting contratado no podrás elegir algunas opciones. Sugerencias: BqBackup, Cloudsafe365, Vembu, Backomatic, WebbyCart Remote, Veeam o ServerSync.

Wordpress Backup Security

Protección del Contenido y Derechos de Autor

32. Utiliza, según tu caso, los servicios de Creative Commons o Safe Creative.

33. Descubre contenido robado o plagiado mediante el uso de servicios como Plagium, Copyscape o DocCop.

Auditorías del Sistema para encontrar vulnerabilidades (avanzado)

34. Usa NMAP para detectar puertos abiertos en tu server con capacidad de ser explotados (para servidores VPS,Cloud o Dedicados no administrados).

35. Utiliza software de autoría para un escaneo de bugs y vulnerabilidades actuales: GFI LanGuard o Nessus.

36. Realiza tests de hacking en wordpress local mediante herramientas como Metaesploit o Nikto.

37. Si eres un usuario avanzado y tienes tu propio servidor, puedes probar la inyección sql o las nuevas técnicas para crackear wordpress mediante el uso del programa Havij  de ITSec Team.

Mantenimiento y Actualización constante

38. Consulta siempre la página oficial de WordPress para mantenerte actualizado mínimamente una vez al mes. Aunque las nuevas versiones te aparezcan en el dashboard, en muchas ocasiones los parches tardan días en salir como descarga pública, con lo que tu wordpress será vulnerable durante este tiempo. Si no escribes demasiado en tu blog porque es una web más estática, programa una alarma semanal para revisar las actualizaciones disponibles.

39. Consulta AyudaWordpress.com para cualquier duda en Español.

40. Consulta webs de seguridad en general si eres el administrador de tu propio servidor (Casi todas las webs de los antivirus más famosos poseen un blog actualizado). Sugerencia: Security Focus.

3 Comentarios

  1. fuerakilos 24/04/2012
  2. Okajey 08/09/2012
  3. galloblanco11 12/04/2013

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *