Seguridad de Wordpress sin Plugins: 8 Pasos

Uno de las cosas sobre las cuales debes preocuparte es la seguridad de tu sitio de Wordpress.

Tener un sitio de WordPress seguro es una meta puedes lograr con plugins, servicios de seguridad y medidas que ya deberías conocer.

Hackear un sitio no es un acto de magia por lo que protegerlo tampoco lo es por lo que en esta publicación aprenderás a tener un sitio de WordPress seguro sin plugins.

Proteger Wordpress sin un Plugin de Seguridad.

Yo no uso un plugin de seguridad en mis sitios de Wordpress por lo que estos son mis consejos para tener un sitio libre de Hackers.

Actualizaciones

Debes asegurarte de mantener los plugins, el tema y la versión de Wordpress actualizados.

Si el tema, los plugins y al versión de Wordpress se encuentra actualizada y no hay una vulnerabilidad tipo cero en estos, te pueden hackear de otras formas pero no por medio de esos tres focos potenciales de problemas.

Asegurate de que el Software de tu servidor se encuentre actualizado.

Yo no puedo hablar por todos los proveedores de hosting pero esto es algo que puedes hacer fácilmente desde el panel de Cloudways

La última versión de PHP y la última versión de MariaDB.

Menos en qué Pensar

Siempre hablando de temas y plugins, asegúrate que solo tener un tema y los plugins necesarios.

Si tienes un solo tema instalado, el foco potencial de problemas se reduce grandemente.

Si tienes 10 plugins instalados, solo deberás pensar en esos 10 plugins.

Un tema y plugin que no se encuentre en uso y con una vulnerabilidad puede llevar al potencial hackeo del sitio.

Revisa PatchStack para estar al tanto de los temas y plugins que tiene vulnerabilidades.

Plugins y Temas de Dudosa Procedencia

Algo muy común en los grupos de Wordpress es la venta de plugins nulos o sin licencia.

Tambien hay paginas que regalan plugins nulos.

El problema de los plugins nulos y sin licencia es que no cuentan con actualizaciones por lo que te llevan al problema número #1 a solucionar en esta publicación.

Y el segundo problema es que algunos de ellos tienen Malware.

Debido a que todo mundo hace lo que le dé la gana, si van a usar plugins nulos, por lo menos aprendan a limpiar malware de un sitio, el que reza y peca empata.

Las Contraseñas

Creo que cuando empezamos nuestra vida en línea cometemos el error de usar contraseñas que podemos recordar o contraseñas que usamos en otros sitios.

La contraseña debe ser lo más compleja y larga posible por lo que usar un gestor de contraseñas es la mejor forma de crear y almacenar contraseñas.

Te recomiendo LastPass o DashLane

Si tienes una contraseña compleja, los hackers podrán atacar la página de acceso pero no podrán entrar en años.

Los ataques de fuerza bruta pueden causar el desperdicio de recursos pero nadie puede vulnerar el sitio si la contraseña es sumamente compleja.

Un Hosting Seguro

El proveedor de hosting que usas es otro punto importante en las medidas de seguridad.

Hay proveedores de hosting muy buenos que se toman la seguridad de un sitio muy en serio.

Yo estoy felizmente casado con Cloudways.

Cloudways es un plataforma que permite manejar Cloud Hosting, es económico, super rápido y muy seguro.

Cloudways permite bloquear el acceso a la base de datos y a la instalación por medio de IP desde su panel.

Es decir, aunque yo tenga el usuario y contraseña de tu base de datos y tus credenciales FTP, no podré manipular la base de datos o tu instalación.

Cloudways también te hace respaldos con los cuales puedes respaldar tus sitios con un click.

Hay otros proveedores de hosting que toman medidas de seguridad para sus clientes y hay otros que te venden servicios cuando te han hackeado.

Muy conveniente ¿No lo creen?

Respaldos

No uses tu propia instalación de Wordpress para guardar respaldos, tampoco dejes sitios de prueba (staging sites) en tu instalación.

Los respaldos deben ser guardados en almacenamientos externos y los sitios de staging debe recibir mantenimiento o ser borrados.

Los respaldos y sitios de prueba ser usados para poder vulnerar el sitio de producción

Si sos curioso, activa un registrador de errores 404 y verás como bots andan buscando respaldos y sitios de pruebas en tu sitio.

Reglas de Firewall de CloudFlare

Yo uso reglas de CloudFlare personalizadas para proteger mis sitios.

Hay una regla muy sencilla para reducir los ataques de fuerza bruta a cero.

Las Reglas de CloudFlare te pueden ayudar a detener las vulnerabilidades tipo cero si las configuras apropiadamente.

Puedes leer más sobre las reglas de cortafuego de cloudflare

Reglas en el .htaccess

Otras de las acciones que puedes tomar es proteger el sitio por medio de reglas que se agregan en el archivo htaccess.

De hecho muchos plugins de seguridad implementan reglas en el .htaccess.

Un ejemplo de esto es All in One WP Security and Firewall.

Muchas de esas reglas se pueden implementar sin la necesidad de ese u otro plugin similar.

Puedes implementar algunos de esas reglas con plugin para editar el .HTACCESS o puedes implementarlas directamente.

Resumen de Seguridad

Si tu sitio cumple con lo siguiente, ya te ahorraste una gran cantidad de problemas.

Medida¿Bajo tu Control?
Tu hosting es de calidad.Si
Tus plugins estan actualizados.Si
Tu tema esta actualizado.Si
Tienes la última versión de Wordpress.Si
No tienes un plugin o un tema lleno de MalwareSi
Tienes una buena contraseñaSi
Vulnerabilidad Tipo CeroNo
Tus respaldos estan segurosSi
Reglas de CloudFlareSi

Preguntas Frecuentes

Estas son algunas preguntas sobre lo mencionado anteriormente:

#1 ¿Qué son las vulnerabilidades tipo cero?

Las vulnerabilidades tipo cero son aquellas que los hackers conocen y que no han sido descubiertas por los desarrolladores de Wordpress, plugins y temas.

Sigue el boletín de WordFence para estar al tanto de nuevas vulnerabilidades

#2 ¿Una contraseña compleja no detiene los ataques de Fuerza Bruta?

La contraseña compleja no detiene el ataque, los ataque de fuerza bruta prueban miles de combinaciones de usuarios y contraseñas.

Esos intentos puedes agotar los recursos de tu servidores pero sin éxito en descifrar los credenciales.

CloudFlare te puede ayudar a salvaguardar los recursos con regla de Firewall para proteger archivos PHP

#3 ¿Hay muchas medidas porque solo hay tan pocas en esta publicación?

Las personas tienden a pensar que el hackeo de sus sitios lo realizó un personaje de la serie de Mr Robot pero esa no es la realidad.

La mayoría de hackeos o intentos de hackeos son automatizados.

En ocasiones, los hackers sólo necesitan que seas lo suficiente ingenuo para usar una contraseña como Qwerty123 o tener un plugin o tema nulo que le manda los datos de tu web al Hacker.

Lo otro es que hay mucho consejo redundante, yo puedo agregar un captcha a la página de inicio de sesión, limitar el número de intentos, bloquear por IP, cambiar la dirección de login pero con CloudFlare, puedes hacer la página visible para nadie o solo para una IP.

#4 ¿Alguien puede saltarse la seguridad de CloudFlare?

Alguien con muchos conocimientos y que desee verdaderamente hackear tu sitio puede saltarse la seguridad de CloudFlare.

Lo mismo se puede decir sobre Sucuri, WordFence y otros plugins o redes de contenido global.

Si el hacker tiene voluntad, lo intentará de muchas formas. Si tu sitio no tiene que nada que un hacker quiera, el no seguirá agotando recursos en ti.

#5 ¿Qué más se puede hacer sin plugins?

Puedes implementar algunas otras en el archivo wp-config.php

Hay muchas otras cosas que puedes realizar pero mi punto es este, si eres un tonto en temas de seguridad, no habrá plugin, CDN o reglas en el .htaccess que te prevenga de abrirle la puertas de tu sitio a los hackers.

#6 ¿No todos los plugins nulos tienen malware?

El hecho que un plugin sea nulo no significa que tenga malware pero como saberlo es el dilema.

Si no tienes la más mínima idea de como limpiar un sitio, no te arriesgues, te puede salir caro.

Usa plugins gratuitos o compra los plugins y temas directamente del desarrollador

Información Relacionada

Estas son algunas publicaciones de seguridad

  1. Sitios Hackeados con Alfa Shell
  2. Bloquear un Proveedor de Hosting por ASN
  3. Mi CortaFuegos Personalizado para WordPress
  4. Esconder la Versión de WordPress: ¿Sirve de Algo?
  5. 12 Plugins de Seguridad para WordPress
  6. 7 Plugins de Auditoria para WordPress
  7. Ataques de Fuerza Bruta: ¿Qué Hacer?
  8. 7 Plugins para Detectar Malware en WordPress
  9. Cómo Usar el Archivo .htaccess
  10. Desactivar el XMLRPC.PHP en WordPress

Sobre Jose manuel

Soy José Manuel, empecé un blog en el 2011 como un pasatiempo y para hacerlo en mis clases y poco a poco, me enamoré de WordPress. Espero que algo de todo lo que he escrito te sirva de ayuda.

RevistaWP

RevistaWP es un sitio donde registro mis pensamientos y descubrimientos sobre todo lo que sucede dentro del mundo WordPress

Contacto

Puedes contactarme por medio de los siguientes canales