Madein:Media

Categorías

Guía de Seguridad en WordPress – 20 pasos para proteger tu sitio.

Si estás leyendo este artículo seguramente tu web puede estar infectada y necesitas saber como limpiarla, restaurarla y protegerte de futuros ataques.

WordPress es el CMS más utilizado a nivel mundial y por lo tanto es el más atacado, las causas son múltiples, desde CMS o Plugin desactualizados, inyección de código y SQL, fuerza bruta, themes y descargas nulled, contraseñas débiles… por lo tanto está abierto a continuos ataques de vulnerabilidad.

El 31% de todos los sitios webs activos en internet están realizados con WordPress.

Según National Vulnerability Database muestra que existen alrededor de 509 vulnerabilidades de este CMS, una media de 30.000 nuevas páginas son hackeadas cada día.

En este artículo vamos a tratar 2 temas, por un lado veremos como restaurar y asegurar tu web si ya ha sido atacada y por otro lado veremos los métodos principales para proteger tu WP de futuros ataques.

Mi web ha sido Hackeada, ¿Qué puedo hacer?

Lo primero que debes de hacer es comprobar si tu servidor tiene una copia de seguridad reciente, si no es así plantéate en el futuro realizar copias automáticas, a través de algún plugin o desde tu servidor.

Si existe una copia del servidor sólo tendrás que restaurarla y seguir los pasos de seguridad para proteger tu web, si no tienes copia deberás de hacer lo siguiente, no me entretendré en explicar cada paso, simplemente nombraré una lista para poder restaurar tu web.

20 reglas de Oro para proteger tu WordPress

A continuación te dejamos 20 consejos para tener tu web en WordPress protegida de posibles ataques. Como puedes imaginar realizar estos consejos te ayudarán, pero debes de saber que no son infalibles. Grandes plataformas son hackeadas cada día en todo el mundo, con fuertes medidas de seguridad.

Instalar un nuevo WP actualizado a la última versión.
Crear contraseñas seguras, que incluyan mayúsculas, minúsculas, números y caracteres especiales, recuerda apuntarlas en algún lado.
Revisar que la Base de Datos de tu web infectada no incluya código malicioso, para ello solo debes de realizar una sencilla consulta SQL como esta:

SELECT * FROM wp_options WHERE (option_id LIKE '%base64_decode%' OR option_name LIKE '%base64_decode%' OR option_value LIKE '%base64_decode%' OR autoload LIKE '%base64_decode%' OR option_id LIKE '%edoced_46esab%' OR option_name LIKE '%edoced_46esab%' OR option_value LIKE '%edoced_46esab%' OR autoload LIKE '%edoced_46esab%' OR option_name LIKE 'wp_check_hash' OR option_name LIKE 'class_generic_support' OR option_name LIKE 'widget_generic_support' OR option_name LIKE 'ftp_credentials' OR option_name LIKE 'fwp' OR option_name LIKE 'rss_%') order by option_id

Si la consulta te devuelve 0 resultados puedes estar tranquilo, pero si detecta alguna irregularidad debemos de arreglar la base de datos. Especial atención a la tabla wp_option y wp_users.

Una vez que sabemos que la base de datos está totalmente limpia, no existe código malicioso y no hay usuarios registrados que no conozcamos, podemos importar la base de datos a una nueva base de datos, especial atención de nuevo a la hora de crear el usuario y la contraseña, no se lo pongas fácil, que tus usuario y contraseña sean seguras.

Nota: Cambia el prefijo por defecto (wp_) a la hora de crear la base de datos.

Ahora llega el momento de subir de nuevo el theme que tuvieras instalado, sube la última versión del mismo.
Lo mismo con los plugins que tuvieras instalados, súbelos de nuevo desde el respositorio de WP o desde el buscador propio de la instalación de WP.
Llega el momento de cambiar las contraseñas de tu hosting y borrar todas las cuentas de FTP desde tu hosting.
Desde tu hosting tendrás que proteger las carpetas de wp-admin y wp-login, esto lo podremos hacer desde la opción “Privacidad del directorio” o “directorios protegidos por contraseña” desde tu cPanel o Plesk.
Debemos de reforzar el archivo xmlrpc.php, es posible a sufrir ataques de fuerza bruta en este archivo, este archivo sirve para postear de forma remota, así que si no lo vas a usar lo mejor es bloquearlo.

Solamente hay que modificar .htaccess añadiendo este código:

<Files xmlrpc.php>
order allow,deny
deny from all
</Files>

Borra la versión de WP de la sección wp_head
Desactiva el editor de plantillas (Apariencia > Editor)

## Disable Editing in Dashboard
define('DISALLOW_FILE_EDIT', true);

Refuerza tu WP con los siguientes plugins

Login Lockdown: Bloquear intentos de acceso a WP con la misma IP.
Backup WP: Copias de seguridad automáticas de archivos y base de datos.
Captcha on Login: Añade un Captcha a tu login y hazlo más seguro.
WordPress Secury: Posiblemente el plugin de seguridad más completo y eficaz.
New User Approve: Aprovación manuel de nuevos usuarios.

Invierte en un hosting de calidad.
Agrega SSL a tu sitio web.
Reubicar el archivo wp-config.php mediante código (en algunos servidores esto no se puede hacer) # protege archivo wp-config

<files wp-config.php>
order allow,deny
deny from all
</files>

Proteger el archivo .htaccess. Evita el acceso externo a este archivo mediante código.

# protege el archivo htaccess
<files .htaccess>
order allow,deny
deny from all
</files>

Cambiar la URL wp-admin para acceder al admin de WP.

Podemos hacerlo mediante los siguientes plugins:

WPS Hide Login
Rename Wp Login
Lockdown WP Admin

Combate el SPAM.

WP-reCAPTCHA es un plugin que marca los comentarios como SPAM, la maldición de muchos blogs tanto en los comentarios como en los formularios de contacto, además el SPAM puede comprometer la seguridad de tu web.

Eliminar archivos innecesarios.

Durante la instalación de WP se crean algunos archivos que ya no serán necesarios y dejan pistas y agujeros de seguridad, como la versión de WP o de PHP.

¿Qué archivos debo de borrar?

config-sample.php
txt
txt
html

Usar la última versión de PHP

PHP es la columna vertebral de WordPress, cualquier sitio que use una versión inferior a PHP 7.0 está expuesto a más vulnerabilidades de seguridad.