Mantener un blog basado en WordPress, olenemata mõõde, no es tarea fácil pues requiere una curva de aprendizaje importante hasta llegar a controlar con fluidez su forma de administración, los diversos teemad y pluginad, y sobretodo su turvalisus y las múltiples peleas con el código, see ei ole tavaliselt nii selge, kui tundub.
Es bueno saber, que además de la calidad del contenido, la usabilidad y el SEO que se realice, debe cuidarse la base fundamental de nuestra web como es el hosting y las medidas de protección que adoptemos, pues en buena medida afectan directamente a los parámetros citados anteriormente.
Si tienes un blog o dispones ya de una red de contenidos basada en wordpres y quieres automatizar un poco el proceso o la parte dedicada a la seguridad, te damos 40 consejos básicos de protección que deben incluirse en cualquier proyecto en la red:
Asegura tu Protección Local – Plan de Trabajo
1. Debes mantener un PC o laptop limpio. Con actualizaciones automáticas activadas en caso de Windows, si puede ser.
2.Trabaja con un usuario que no tenga privilegios de administrador.
3. Utiliza software antivirus y firewall conjunto (que analice también el tráfico wifi). Condición: actualizados diariamente de forma automática.
4. Si puedes virtualizar un sistema para trabajar, mejor. Esto reduce el riesgo de infecciones y archivos corruptos. Sugerencia: VirtualBox.
5. Protege tu navegador. En el caso de Firefox, puedes usar la extensión noscript. Para almacenar contraseñas, utiliza un gestor de passwords fiable como Keepass o LastPass. En el caso de e-mails, intenta encriptar los correos con alguna aplicación gratis como Enigmail o PGP.
6. Lista de aplicaciones gratis para estas tareas (MalwareBytes, CleanUp, Argente Utilities, ComboFix, CCleaner, Avira Free, AVG Free, DefenseWall, ZoneAlarm…).
7. Utiliza un sistema de backup contínuo en tus carpetas de proyectos, ya sea mediante un NAS o sincronizando con un disco duro virtual en la nube (DropBox, SugarSync, JustCloud, MiMedia, Box.net, Amazon S3,…). Otro consejo es encriptar o proteger mediante password la carpeta de trabajo.
Protección a nivel de Hosting y de Instalación WordPress
8. Registra tu dominio en un agente acreditado, que te permita como mínimo bloquear transferencias y modificaciones, ver el auth code (EPP) y cambiar las DNS sin problema y sin depender del soporte. Fundamental y obligatorio para empezar cualquier proyecto en internet.
9. Aloja tu dominio en un hosting seguro, fiable y que te asegure (y demuestre) que ha adoptado las medidas de seguridad necesarias (actualizaciones del sistema frecuentes, instalación de módulos de seguridad, antivirus y firewall - Mod_Security, APF, CSF, Suhosin, Mod_evasive, QMail, SpamAssasin, DrWeb, rkhunter,.. -, correctamente configurados (según el sistema), actualización de blacklist tipo spamhaus, protección DDoS,…) ja, si es posible, que disponga de servicios de backup, mínimamente semanal. Si es un VPS, cloud o un dedicado sin administrar, deberás responsabilizarte de esto o subcontratar a una persona que te haga esta faena cada X tiempo. Una vez instalado todo correctamente, no hace falta que revise cada día. La recomendación es mensual o trimestral para pequeños proyectos que no muevan mucho tráfico ni tampoco actualicen frecuentemente.
10. Conecta siempre al panel de tu hosting o al sistema de archivos a través de SSH y SFTP respectivamente. Revisa la versión del panel y si queda desactualizado, avisa al soporte y pregunta las razones que tienen para no hacer un update (a veces son incompatibilidades con apache, php, sistemas de caché..pero otras son por despiste o por descuido). Las actualizaciones sólo tienen 2 motivos: mejorar y proteger aún más.
11. Evita el shared hosting para proyectos importantes o ecommerce y, si no puedes permitírtelo, almenos compra una IP dedicada para tu blog. Recuerda que si un vecino tuyo es baneado por Google u otro buscador, también banearán el rango de IP dónde está tu web.
12. Usa herramientas de monitorización del estado del servidor tipo Pingdom, UptimeRobot o cualquier Ping Monitor que te avise cuando una web está caída por culpa del server. Localiza y Testea previamente en tu host que recibes los logs de error.
13. Descarga WordPress desde su sitio oficial, evita autoinstaladores. Así podrás dar de alta las bases de datos, usuarios y passwords de forma manual (largos, complicados, no relacionados y evita el usario ‘admin’) usando wp-admin/install.php. Evita instalar plugins que no sean del repositorio.
14. Protege .htaccess, wp-config y wp-admin asignándoles como mínimo CHMOD 644. Asegúrate de borrar wp-install.
15. Blinda WP y el .htaccess con directivas de seguridad, y añade la 5G Blacklist 2012 de Riknevate Press necesaria (puedes hacerlo con algunos plugins gratuitos). Puedes editar también el archivo robots.txt para bloquear algunos rastreadores y spambots, pero es poco efectivo.
16. Recuerda que los permisos estándar para wordpress son: carpetas (755) y archivos (644). Algunas carpeta como wp-uploads o de caché pueden requerir un aumento a 775 o 777 en algunos servidores (habla con los administradores para solventar esto).
17. Võite mover el wp-config.php y el wp-content de la carpeta dónde está alojado wordpress y así evitar que los exploits te detecten.
Protección a Nivel de Core, Plugins y Login
18. Actualiza siempre a la última versión de WordPress, así como todos los plugins que lo requieran. Haz una copia de la base de datos y del contenido antes, ya que pueden darse incompatibilidades en muchas ocasiones. Para monitorizar tus sitios en wp y recibir alertas sobre tus sitios es recomendable usar WP Remote.
19. No dejes que los plugins modifiquen los permisos. (Mõned, te avisarán como W3 Total Caché). Sugerencias: Instala Wordfence (el más actual de todos), WP Security Scan, Ultimate Security Check, Exploit Scanner o WP File Monitor para que puedas monitorizarlo y corregir vulnerabilidades que puedan causar estas acciones. Algunos de ellos te permiten modificar parámetros como: ocultar la versión de wp, cambiar el prefijo de la base de datos, ocultar el modo debug, etc…
20. Blinda la carpeta wp-admin, o bien si puedes, fuerza la autentificación mediante SSL.
21. Instala plugins de seguridad en la autentificación (Login Lock,Logi sisse Lockdown,Stealth Logi sisse). Si en tu blog partipan más usuarios, recuerda asignarles roles a cada uno de ellos (existen diversos plugins que automatizan el proceso).
22. Para usuarios avanzados mejor usar Bulletproof Turvalisus, WP tulemüür 2 o Ask Apache. Además del login, crearán los archivos .htaccess necesarios para protegerte de los ataques más conocidos (antiflood, hotlinking, cross-script,sql injection…).
23. Si quieres optimizar al máximo el rendimiento y seguridad de WordPress (filtrar spam, inyecciones SQL, spämmirobotide vastu, jne,…) tienes una solución muy completa y gratuita (los servicios mínimos) al instalar Cloudflare.
Protección a nivel de spam e inyecciones de código en Comentarios
24. Instala antispam plugins y que reduzcan el consumo de cpu por consulta php innecesaria (Sugerencias: akismet + API võti, spam free, halb käitumine + http:BL Key o Block Bad Queries).
25. Instalar User Spam Remover cuando detectes una alta actividad de spam en tu blog (si has instalado alguno de los primeros, es posible que no lo necesites). WP-Spam Free también es una alternativa para evitar comentarios no deseables.
26. Complementa los formularios de contacto y de comentarios con plugins captcha. Sugerencias: Really Simple Captcha, NuCaptcha, SI Captcha.
27. Si quieres evitar fórmulas de backlinking, puedes eliminar el campo “sitio web” en el formulario de comentarios, así como deshabilitar trackbacks o pingbacks (ojo, esto te puede restar tráfico web o afectar en el SEO).
28. Usa soluciones alternativas de externalización de comentarios como IntenseDebate o Disqus Comments (te reducirán considerablemente las queries a la base de datos y filtrarán spammers).
Protección de Bases de Datos y Política de Backup
29. Haz una copia de seguridad de tu blog mínimo 1 vez a la semana pero si es posible hazlo diariamente, dejando las 3 últimas copias que se han realizado últimamente. Las copias nunca las dejes en el mismo repositorio o en otra carpeta del propio hosting, tienen que externalizarse (otro ftp, vía cloud storage o por e-mail y descarga a local). Intenta mantener 2 localizaciones no coincidentes para tus copias. Es mejor hacerlo automáticamente desde tu panel de hosting que con plugins (los plugins te ayudarán a recuperar más rápido la información en caso de querer restaurar el sitio).
30. Instala un plugin para respaldar WordPress. Sugerencia: WP-DB Manager, WP-DB Backup, Backwpup o Xcloner. La mayoría de éstos permiten salvar y recuperar base de datos, localmente y en otros sitios como Amazon S3 o Dropbox. Ka, son capaces de activarse mediante Cron para que puedas programar el horario de tus copias. Además de los 2 mencionados, puedes usar servicios gratis de Cloud Storage tales como SugarSync, SkyDrive, MiMedia y Box.net.
31. Utiliza servicios externos de backup en caso de no querer complicarte demasiado. Algunos lo hacen anivel de Worpdress y otros a nivel de hosting completo. Dependiendo de tu servidor o el tipo de webhosting contratado no podrás elegir algunas opciones. Sugerencias: BqBackup, Cloudsafe365, Vembu, Backomatic, WebbyCart Remote, Veeam o ServerSync.
Protección del Contenido y Derechos de Autor
32. Utiliza, según tu caso, los servicios de Creative Commons o Safe Creative.
33. Descubre contenido robado o plagiado mediante el uso de servicios como Plagium, Copyscape o DocCop.
Auditorías del Sistema para encontrar vulnerabilidades (avanzado)
34. Usa NMAP para detectar puertos abiertos en tu server con capacidad de ser explotados (para servidores VPS,Cloud o Dedicados no administrados).
35. Utiliza software de autoría para un escaneo de bugs y vulnerabilidades actuales: GFI LanGuard o Nessus.
36. Realiza tests de hacking en wordpress local mediante herramientas como Metaesploit o Nikto.
37. Si eres un usuario avanzado y tienes tu propio servidor, puedes probar la inyección sql o las nuevas técnicas para crackear wordpress mediante el uso del programa Havij de ITSec Team.
Mantenimiento y Actualización constante
38. Consulta siempre la página oficial de WordPress para mantenerte actualizado mínimamente una vez al mes. Aunque las nuevas versiones te aparezcan en el dashboard, en muchas ocasiones los parches tardan días en salir como descarga pública, con lo que tu wordpress será vulnerable durante este tiempo. Si no escribes demasiado en tu blog porque es una web más estática, programa una alarma semanal para revisar las actualizaciones disponibles.
39. Consulta AyudaWordpress.com para cualquier duda en Español.
40. Consulta webs de seguridad en general si eres el administrador de tu propio servidor (Casi todas las webs de los antivirus más famosos poseen un blog actualizado). Sugerencia: Security Focus.
Kaitse meetodid Wp-admin kausta
Wordpress kilp rämpsposti vastu DDoS y
BlogZapper - Kloonimine ja Backup Wordpress
4G, et kaitsta meie server Blacklist
SeguridadWordpress.com on blogi, mis aitab kasutajatel turvalisuse suurendamiseks oma veebilehed põhinevad Wordpress. Sait ei ärisidemete see CMS. WordPress ® on registreeritud kaubamärk Automattic Inc.
interesante y valioso articulo.
la verdad es que el tema de seguridad wordpress es algo bastante complicado al menos para conseguir un buen compromiso entres seguridad y usabilidad, y que ademas el blog siga viendose con cierta soltura y velocidad porque lo que me ha pasado a mi en concreto en uno de nuestros blogs es que a raiz de instalar varios plugins de seguridad la carga en el navegador del blog resultaba mas lenta de lo normal.
en cuanto al robo de contenido, es malo sobre todo para el que lo hace ya que google penaliza el contenido duplicado a dia de hoy.
por otra parte el punto 38 donde se recomienda actualizar constantemente es clave aunque no nos engañemos es tambien muy complicado. el panorama a veces es que tienes un blog con un tema precioso, con todos tus plugins perfectamente instalados y funcionando todo maravillosamente, actualizas, y zas, de repente o no carga o la mitad de las cosas no funcionan o el tema no se ve o parte de los plugins aunque esten actualizados no cargan, enfin un desastre. es el eterno dilema entre “si funciona no le toques” ja “actualiza para estar seguro”
tambien comentar que existe un plugin llamado wordpress file monitor que te dice por ejemplo cada x horas que archivos han sido modificados en tu blog, y asi poder saber si alguien te esta modificando el blog sin saberlo o donde han iyectado un codigo malicioso
de nuevo, gracias por la informacion
un saludo
Buen dia!
Un post genial y un blog genial. Sin duda es, y seguirá siendo, de gran ayuda. Tänan.
Muy bien, ya me paso que mi provedor de servicio de hosting me bloqueo el acceso al panel de administración por varios ataques maliciosos y me llegaban varios comentarios en idiomas raros.
Pronto publico la solución en mi página, y esto también me sirve, gracias.