41 Consejos de Seguridad para WordPress

Seguridad para WordPress

Consejos de Seguridad de WordPress

Estos son algunos consejos de seguridad para tu sitio de WordPress desde los más sencillos hasta los más complejos.

Muchos de estos consejos se pueden solucionar por medio del uso de uno o dos plugins.

Sin embargo muchos de ellos no requieren el uso de un plugin y algunos se pueden realizar sin usar uno con modificación en ciertos archivos.

40 Consejos de Seguridad de WordPress

Estos son los mejores consejos de seguridad para librarte de algunos problemas.

  1. Realizar Respaldos
  2. No Permitir Nuevos Registros
  3. Cierres de Sesión Automáticos
  4. Usar Certificados de Seguridad
  5. Escanear tu Sitio con Frecuencia
  6. No Usar Temas y Plugins de Dudosa Procedencia
  7. Usuario y Contraseña
  8. Reforzar el Resto de Contraseñas
  9. Cambiar el Permiso de Archivos
  10. Protección contra HotLinking
  11. Detener Bots
  12. Detener Numeración del Usuario
  13. Prevencioń de Spam
  14. Remover Información de Versión de WordPress
  15. Cambiar el Prefijo de la Base de Datos
  16. Aumentar Nivel de Seguridad en CloudFlare
  17. Desactivar el Archivo XMLRPC.PHP
  18. Mantener Plugins y Temas Actualizados
  19. Hosting para WordPress Seguro
  20. Usar Versión Actualizada de PHP
  21. Bloquear Ataques de Fuerza Bruta
  22. Cambiar el Login
  23. Bloquear la Dirección de Acceso por IP
  24. Autentificación de Dos Factores
  25. Preguntas de Seguridad en la Página de Acceso
  26. Desactivar Navegación del Directorio
  27. Desactivar Ejecucioń de Archivos PHP
  28. Detener Edición de PHP en el Escritorio
  29. Revisar si el Correo Electrónico es Vulnerable
  30. Actualizar Llaves de Seguridad
  31. Implementar HTTP Headers
  32. Un Buen Antivirus
  33. Plugin de Auditoria
  34. Información de Vulnerabilidades
  35. Realizar Test de Seguridad
  36. Monitorear los Errores 404
  37. Monitoreo de Sitio en Línea
  38. Usar un WAF
  39. Proteger Archivo wp-config.php
  40. Prevenir Script Attacks
  41. Verificar si tus credenciales están en la Dark Web

#1 Realizar un Respaldo

Uno de los mejores consejos de seguridad es tener un respaldo de tu sitio en tu computadora o en un sitio de almacenamiento remoto.

Si sufres de un ataque de un hacker puedes restaurar una copia de tu sitio que no esté infectada.

Asegurate no dejar los respaldos en tu sitio ya que los hackers los buscan en las instalaciones.

Plugins Recomendado

  • WPVivid,
  • All in One WP Migration
  • UpDraft Plus

Puedes también descargar los respaldos locales hechos por tu proveedor de hosting.

#2 No Permitir Nuevos Registros

Si tu blog no requiere que usuarios se registren para acceso, asegurate de desmarcar la opción

Cualquiera puede registrarse

Esa opción la puedes encontrar en ajustes generales de tu sitio wordpress.

Si tienes usuarios registrados, asegurate que no tengan el rol de administrador.

#3 Cierres de Sesión Automáticos

Si tiene un sitio web de WordPress con múltiples autores, editores o administradores, debes practicar constantemente el cierre de sesión de los usuarios inactivos de su sitio web de WordPress.

¿Por qué es necesario cerrar la sesión de los usuarios inactivos?

Nunca puede estar seguro de si los usuarios de su sitio han cerrado la sesión o no. Tener sesiones almacenadas en su navegador puede exponer a los usuarios al secuestro de sesiones y su sitio web será pirateado fácilmente.

Plugin Recomendado

  • All in One WP Security and Firewall
  • BulletProof Security

#4 Usar Certificados de Seguridad

En este tiempo es tan fácil tener un certificado de Seguridad. La mayoría de proveedores de hosting ofrecen certificados de seguridad gratuitos de Let’s Encrypt.

Si usas CloudFlare, puedes usar la opción de SSL que tienen disponible.

Hosting Recomendado

#5 Escanear tu Sitio de WordPress con Regularidad

Puedes escanear tu sitio para asegurarte que no está infectado usando herramientas en línea o plugins gratuitos que identifican la presencia de codigo malicioso en tus archivos.

Plugins Recomendados

Puedes leer más sobre esto en esta publicación: detectar código malicioso en tu sitio

#6 No Uses Temas y Plugins de WordPress de Sitios Poco Confiables

Uno de los grandes problemas es que los usuarios por el deseo de usar un producto premium o por no contar con los ingresos para comprar un tema o plugin premium recurren a sitios donde puedes descargar temas y plugins que podrían haber sido manipulados o no.

Si no sabes crear un sitio y usas los servicios de un desarrollador, asegurate que el desarollador o diseñador web esté usando plugins gratuitos o que cuenta con la licencia de esos temas y plugins.

En los grupos de WordPress en Español se ven solicitudes de plugins a terceros por lo que la práctica de usar plugins y temas nulos o sin licencia es maś comun de los que creemos.

Usar plugins y temas dados gratuitamente o a bajo costo te va a salir caro.

Lectura Recomendada

#7 Usuario y Contraseña

Si alguna vez has visto una lista de los intentos fallidos para vulnerar tu sitio, vas a descubrir que los hackers tratan de vulnerar tu sitio por medio de la fuerza bruta

Los intentos se hacen usando la palabra admin por lo que debes cambiar ese usuario o agregar otro y borrarlo.

Si usas la palabra usuario o admin, ya le diste una pista a los hackers por lo que ahora deberán encargarse del resto.

Asegurate de usar una contraseña que sea una combinación de letras minúsculas, mayusculas, números y caracteres.

Tambien asegurate que tu display name o nickname de wordpress no sea tu nombre de usuario

Por último tu contraseña debe ser lo maś robusta posible.

Servicios Recomendados

  • Revisa cuán buena es tu contraseña o una variante de la misma con Kaspersky
  • Usar LastPass o Dashlane para usar contraseñas super robustas sin necesidad de recordarlas. Disponible en teléfonos inteligentes y en navegadores populares.

#8 Refuerza el Resto de las Contraseñas

No creas que la contraseña de tu sitio es la única que importa.

Tambien debes cambiar:

  • Usuario y Contraseña de la base de datos.
  • Usuario y Contraseña de acceso SFTP.
  • Contraseña de tu hosting.
  • Contraseña de tu registrador de dominio.

#9 Cambiar el Permiso de Ciertos Archivos

Una de las maneras de contrarrestar los ataques realizados por hackers es cambiando los permisos de ciertos archivos

Los archivos del sistema que deben ser cambiados son los siguientes:

/public_html/0755
public_html/wp-includes0755
/public_html/.htaccess0644
/public_html/wp-admin/index.php0644
/public_html/wp-admin/js/0755
/public_html/wp-content/themes0755
/wp-content/plugins0755
/public_html/wp-admin0755
/public_html/wp-content0755
/public_html/wp-config.php0640

Plugins Recomendados

  • All in One WP Security and Firewall

#10 Utilizar Protección contra HotLinking

Otra de las maneras de proteger los recursos de tus sitios es usar la proteccioń contra Hotlinking

Usar el sistema en contra de hotlinking te ayudará a evitar que otros sitios web se vinculen a sus recursos de imagen o abusen de tu ancho de banda.

Servicios y Plugins Recomendados

  • CloudFlare
  • All in One WP Security and Firewall

La protección contra HotLinking de CloudFlare no permite que tu contenido sea duplicado facilmente.

Código para el .HTACCESS

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www.)example.com/.*$ [NC]
RewriteRule .(gif|jpg|jpeg|bmp|zip|rar|mp3|flv|swf|xml|php|png|css|pdf)$ – [F]

#11 Detener Bots

El modo de lucha contra bots de Cloudflare detecta bots defectuosos y realiza varias acciones:

  • Ralentiza el bot con un desafío computacionalmente intenso
  • Notifica a los socios de Bandwidth Alliance (si corresponde) para deshabilitar el bot.

Plugins Recomendados

  • All in One WP Security and Firewall
  • Black Hole
  • BBQ: Block Bad Queries
  • CloudFlare

#12 Detener la Numeración del Usuario

La enumeración de usuarios es un tipo de ataque donde las partes nefastas pueden sondear su estructura de enlaces permanentes para descubrir su identificación de inicio de sesión.

Esto suele ser un precursor para los ataques de contraseña de fuerza bruta.

Si está seguro de que todos sus usuarios usan contraseñas seguras que se actualizan regularmente, entonces no hay nada de qué preocuparse

Puedes leer más sobre cómo detener la numeración de usuario en esta publicación

#13 Prevención de Spam

Una de las medidas que tambien debes tomar es reducir el Spam que llega a tu sitio en los comentarios y por medio de los formularios de contacto.

Si no le encuentras utilidad a los comentarios que también son parte de tu contenido puedes desactivarlos por completo.

#14 Remover la Información de Versión de WordPress

El generador de WordPress agrega automáticamente cierta metainformación dentro de las etiquetas “principales” de cada página en el front-end de su sitio.

A continuación se muestra un ejemplo de esto:

<meta name = “generator” content = “WordPress 3.5.1” />

La metainformación anterior muestra qué versión de WordPress está ejecutando actualmente su sitio y, por lo tanto, puede ayudar a los piratas informáticos o rastreadores a escanear su sitio para ver si tiene una versión anterior de WordPress o una con un exploit conocido.

Si tienes la última versión de WordPress, no te preocupes por esto

Codigo para el PHP File

function remove_version_from_style_js( $src ) {
if ( strpos( $src, 'ver=' . get_bloginfo( 'version' ) ) )
$src = remove_query_arg( 'ver', $src );
return $src;
}
add_filter( 'style_loader_src', 'remove_version_from_style_js');
add_filter( 'script_loader_src', 'remove_version_from_style_js');

#15 Cambiar el Prefijo de la Base de Datos

Su base de datos de WordPress es el activo más importante de su sitio web porque contiene mucha de la valiosa información de su sitio.

La base de datos también es un objetivo para los piratas informáticos a través de métodos como inyecciones SQL y código malicioso y automatizado que se dirige a ciertas tablas.

Una forma de agregar una capa de protección para su base de datos es cambiar el prefijo de tabla predeterminado de WordPress de “wp_” a otra cosa que sea difícil de adivinar para los hackers.

Esto lo puedes hacer por medio de All in One WP Security and Firewall o con cualquier plugin que no tienes que mantener debido a que el cambio en el prefijo es permanente

Plugins Recomendados

  • All in One WP Security
  • Itheme Security

Lectura Recomendada

#16 Aumentar el Nivel de Seguridad de CloudFlare

Otra de las opciones gratuitas es aumentar el nivel de seguridad de CloudFlare

El modo alto de Seguridad del Firewall de CloudFlare desafía a todos los visitantes que muestran un comportamiento amenazante en los últimos 14 días.

#17 Desactivar el XMLRPC.PHP en WordPress

Otras de las medidas de seguridad es desactivar el XMLRPC.PHP en WordPress , hazlo si no requieres acceso remoto a tu sitio como la conexión que estableces con tu sitio con algunos plugins como Jetpack

Puedes ver la forma de desactivar el XMLRPC.PHP en WordPress en la siguiente publicación.

Puedes verificar el estado de este método usando el siguiente validador de XMLRPC.PHP

Plugins Recomendados

  • All in One WP Security
  • Itheme Security
  • WordFence
  • Cerber

Código para el .HTACCESS

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all allow from 123.123.123.123
</Files>

#18 Mantener WordPress, Plugins y Temas Actualizados

Un consejo básico para mantener la seguridad de wordpress es actualizar wordpress, plugins y los temas.

WordPress realiza mejoras al software con cierta regularidad y es aconsejable usar plugins y temas que estén siendo actualizados con cierta frecuencia.

En ocasiones wordpress, los temas y los plugins son actualizados cuando vulnerabilidades son encontradas.

La actualización automática de WordPress, plugins y tema sera parte del core de WordPress apartir de la versión 5.5

Formas de Hacerlo

  1. Las actualizaciones las puedes hacer de forma manual
  2. Jetpack permite la actualización automática desde una aplicación

#19 Hosting para WordPress Seguro

En ocasiones los usuarios desean tener hosting o hospedaje web de calidad y contratan servicios que implementan poca seguridad a los servidores.

El negocio de algunos proveedores de Hosting radica en que si su sitio es hackeado, usted necesitará ayuda y ellos estarán en primera línea para ofrecer esa ayuda por un monto a cambio.

Otro problema es el hospedaje web compartido, donde tienes que compartir un servidor con cientos o miles de usuarios, lo que implica un riesgo para los demás sitios.

La contaminación cruzada implica que un sitio en el servidor ha sido hackeado y con Malware y es cuestión de tiempo para que el hacker intente contaminar el resto de los sitios hospedados en el mismo servidor

Hosting Recomendado

#20 Utiliza la Última Versión de PHP

Esto depende de tu proveedor de hosting, las versiones inferiores a la 7.1 ya no reciben soporte por lo tanto asegurate de no estarlas usando.

Usar versiones inferiores son riesgo de seguridad y afectan el desempeño de tu sitio.

Hosting Recomendado

#21 Bloquea los Ataques de Fuerza Bruta

Además de tener una contraseña robusta, debes de detener los ataques de fuerza bruta por dos razones:

  • Mejorar la seguridad
  • Evitar el desperdicio de los recursos de tu servidor

Plugins Recomendados

  • All In One WP Security
  • Itheme Security
  • WordFence Login

#22 Cambiar el Login

Otra de las medidas es cambiar la dirección de login. Eso lo puedes hacer con la mayoría de plugins de seguridad disponibles.

Los bots y hackers no podrán hacer ataques de fuerza bruta debido a que no encuentran la dirección de login.

Ese cambio se puede hacer con cierta regularidad cuando el mismo plugin de seguridad que usas te alerta que los hackers ya dieron con tu nueva dirección de acceso.

Plugins Recomendados

  • All In One WP Security
  • Itheme Security
  • WordFence Login

#23 Bloquear la Dirección de Acceso por IP

Una de las medidas que me gusta implementar es ocultar completamente la dirección de acceso.

Puedes usar el método descrito anteriormente pero prefiero bloquear el acceso a todo usuario que no sea yo por medio de la IP

Solo las personas que están conectadas a la red de internet de mi casa y celular pueden ver la dirección de acceso si la saben.

Plugins Recomendados

  • All in One WP Security and Firewall

#24 Usar Autenticación de Dos Factores

En este punto, puedes pensar que la seguridad de WordPress es una tarea abrumadora pero la verdad es que la mayoría de estos consejos los puedes lograr con dos plugins.

La autenticación de dos factores consiste en ingresar tu usuario y contraseña para luego ingresar un código de un autenticador.

Plugins Recomendados

  1. WordFence
  2. WordFence Login
  3. 2 Fas-Line Google Authenticator

#25 Poner Preguntas de Seguridad a la Página de Acceso

Otra medida de seguridad para tu página de acceso es el uso de preguntas de Seguridad.

Plugin recomendado

#26 Desactivar la Navegación del Directorio

Por defecto, la indexación de directorios está habilitada en los sitios web de WordPress, una persona con intenciones hostiles puede navegar y descubrir los archivos y la estructura de su sitio web.

Plugin Recomendado

  • All in One WP Security and Firewall
  • Codigo para Poner en el Archivo .HTACCESS
Options -Indexes

#27 Detener la Edición de Archivos PHP desde el Escritorio

Si un pirata informático encuentra un vacío y carga un archivo php malicioso y lo ejecuta en su sitio web en vivo, eso podría significar que pierdas todo su sitio web.

Plugins

  • All in One WP Security and Firewall

Código en el Archivo WP Config

define( 'DISALLOW_FILE_EDIT', true );

#28 Desactivar la Ejecución de Archivos PHP

Si los hacker logran subir un archivo a tu sitio de wordpress, estos pueden tratar de ejecutarlo.

Para prevenir eso, debes pegar un archivo .htaccess en la carpeta wp-content/uploads/  con este código:

<Files *.php>
deny from all
</Files>

#29 Revisa si tu Correo Electrónico esta Comprometido

Tambien revisa si tu correo electrónico ha estado comprometido en ataques de seguridad en el pasado.

Sitios como Dropbox, GoDaddy y otros han sido vulnerados en el pasado

Ingresa tu correo electrónico en esta dirección y con esto sabrás si cuentas asociadas a esos correo han sido vulneradas en el pasado.

Sitio de Revisión de Correos Comprometidos

  1. Revisar Correo

#30 Actualiza las Llaves de Seguridad de WordPress.

Una de las formas de proteger tu sitio es mediante la actualización de las llaves de seguridad.

Estas llaves de seguridad se les conoce como Salts

Plugins Recomendados

  1. All in one WP Security and Firewall
  2. Itheme Security

#31 Implementar Seguridad de HTTP Headers

Una de las maneras de proteger tu sitio en contra de algunas vulnerabilidades es mediante la implementacioń de HTTP Headers.

Puedes revisar como esta la condición de los headers en tu sitio mediante el uso del sitio Security Header.

Haz la prueba

#32 Un Buen Antivirus

Una de las cosas que debes tener es un buen antivirus que te ayude con la detección de malware en la computadora.

Imaginate tener un Keylogger que le manda a un hacker todo lo que digitas en tu computadora.

Deja de usar software pirata. Busca opciones gratuitas

#33 Usar un Plugin de Auditoría

Si debes de darle acceso a un tercero para que revise algo de tu sitio, debes crear otro usuario con las funciones limitadas al servicio que va a realizar.

Una buen forma de prevenir problemas con darle acceso a terceros es mediante el uso de un plugin de auditoria.

Plugins Recomendados

Puedes leer más sobre el tema en esta publicación: Plugins de Auditoria de WordPress

#34 Información sobre Vulnerabilidades

Si deseas saber más sobre vulnerabilidades, puedes ver este sitio web para estar al tanto de todo.

Si sabes que hay una vulnerabilidad en Elementor y lo tienes instalado en tus sitios, puedes tomar precauciones.

Sitios Recomendados:

  1. WPScan Vulnerability Database
  2. ThreatPress
  3. WordFence
  4. Sucuri

#35 Realiza Test de Seguridad

Algo que deberías hacer es realizar test de vulnerabilidad

Tipo de VulnerabilidadTest
SQL InjectionSQL Injection Scanner
Cross Site Scripting (XSS)XSS Scanner

#36 Monitorea los Errores 404

Puedes bloquear algunos bots con algunos plugins pero eso es una tarea imposible bloquearlos todos.

Los bots siempre andan husmeando en tu sitio en busqueda de una vulnerabilidad.

Hay plugins que te permiten registrar los errores 404 y algunos plugin te permiten ver el tráfico de tu sitio en tiempo real.

Si cambiaste la dirección de acceso y ves que de distintas partes del mundo intentan accesarlas, bloquea esas direcciones.

Lo mismo puede hacer con las direcciones IP’s que buscan plugins con vulnerabilidades

Plugins Recomendados

  • All in One WP Security and Firewall
  • WordFence

#37 ¿Esta tu Sitio en Linea?

Una buena práctica es tener un servicio que te permita saber si tu sitio esta en linea.

Un hacker pudo haber borrado tu sitio y pueden pasar horas hasta darte cuenta.

Plugins y Servicios Recomendados

  1. Jetpack
  2. Uptime Robot

#38 Usar un Web Application Firewall

Un web application firewall es una medida de seguridad que previene los ataques de bots y hackers.

Un web application firewall puede bloquear bots y el acceso a archivos importantes de tu sitio como las páginas de acceso, el archivo xmlrpc.php entre otros.

Recomendaciones

  • CloudFlare.
  • Ninja Firewall

#39: Proteger Archivo WP-Config.PHP

Uno de los archivos más importante a proteger es el archivo WP-Config.

Tiene la contraseña de la base de datos y las wordpress salts

Código con el Archivo. HTACCESS

<files wp-config.php>
order allow,deny
deny from all
</files>

#40 Detener Script Injection

Para proteger tu sitio, debes protegerlo de la Inyección de Scripts

Código en el .HTACCESS

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING}
(<|%3C).script.(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

#41 Revisar si tus Credenciales están expuestos en la Dark Web

Análisis de uno de mis sitios y la exposición de este en la Dark Web

Otra de las medidas que puedes implementar a nivel externo es el uso de una herramienta si tu sitio ha sido mencionado en la deep web y si los credenciales han sido expuestos allí.

ImmuniWeb tiene una herramienta gratuita que verifica lo que acabamos de mencionar:

Domain Security Test

Si tu nombre dominio aparece en los resultados puedes cambiarlos para evitar un posible hackeo.

Artículos de Referencia