{"id":809,"date":"2019-03-08T11:44:22","date_gmt":"2019-03-08T11:44:22","guid":{"rendered":"https:\/\/madeinmedia.es\/?p=809"},"modified":"2020-07-22T10:16:40","modified_gmt":"2020-07-22T10:16:40","slug":"guia-de-seguridad-en-wordpress-20-pasos-para-proteger-tu-sitio","status":"publish","type":"post","link":"https:\/\/madeinmedia.es\/blog\/guia-de-seguridad-en-wordpress-20-pasos-para-proteger-tu-sitio\/","title":{"rendered":"Gu\u00eda de Seguridad en WordPress &#8211; 20 pasos para proteger tu sitio."},"content":{"rendered":"<p>Si est\u00e1s leyendo este art\u00edculo seguramente tu web puede estar infectada y necesitas saber como<strong> limpiarla, restaurarla y protegerte de futuros ataques<\/strong>.<\/p><div id=\"ez-toc-container\" class=\"ez-toc-v2_0_75 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">\u00bfQu\u00e9 encontrar\u00e1s en este art\u00edculo de marketing?<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Alternar tabla de contenidos\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/madeinmedia.es\/blog\/guia-de-seguridad-en-wordpress-20-pasos-para-proteger-tu-sitio\/#Mi_web_ha_sido_Hackeada_%C2%BFQue_puedo_hacer\" >Mi web ha sido Hackeada, \u00bfQu\u00e9 puedo hacer?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/madeinmedia.es\/blog\/guia-de-seguridad-en-wordpress-20-pasos-para-proteger-tu-sitio\/#20_reglas_de_Oro_para_proteger_tu_WordPress\" >20 reglas de Oro para proteger tu WordPress<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/madeinmedia.es\/blog\/guia-de-seguridad-en-wordpress-20-pasos-para-proteger-tu-sitio\/#GUIA_DE_SEGURIDAD_EN_WORDPRESS\" >GU\u00cdA DE SEGURIDAD EN WORDPRESS<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/madeinmedia.es\/blog\/guia-de-seguridad-en-wordpress-20-pasos-para-proteger-tu-sitio\/#RESUMEN_PARA_PROTEGER_TU_WORDPRESS\" >RESUMEN PARA PROTEGER TU WORDPRESS<\/a><\/li><\/ul><\/nav><\/div>\n\n<p><strong>WordPress es el CMS m\u00e1s utilizado a nivel mundial<\/strong> y por lo tanto es el m\u00e1s atacado, las causas son m\u00faltiples, desde CMS o Plugin desactualizados, inyecci\u00f3n de c\u00f3digo y SQL, fuerza bruta, themes y descargas nulled, contrase\u00f1as d\u00e9biles\u2026 por lo tanto est\u00e1 abierto a continuos ataques de vulnerabilidad.<\/p>\n<blockquote><p>El 31% de todos los sitios webs activos en internet est\u00e1n realizados con WordPress.<\/p><\/blockquote>\n<p>Seg\u00fan <em>National Vulnerability Database<\/em> muestra que existen alrededor de <a href=\"https:\/\/nvd.nist.gov\/view\/vuln\/search-results?query=Wordpress&amp;search_type=all&amp;cves=on\">509 vulnerabilidades<\/a> de este CMS, una media de <strong>30.000 nuevas p\u00e1ginas son hackeadas cada d\u00eda<\/strong>.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-818\" src=\"https:\/\/madeinmedia.es\/wp-content\/uploads\/2019\/03\/estadisticas-sitios-webs-CMS-mas-Hackeados.png\" alt=\"estadisticas sitios webs CMS mas Hackeados\" width=\"1310\" height=\"822\"><\/p>\n<p>En este art\u00edculo vamos a tratar 2 temas, por un lado veremos como <strong>restaurar y asegurar tu web<\/strong> si ya ha sido atacada y por otro lado veremos los <strong>m\u00e9todos principales para proteger tu WP<\/strong> de futuros ataques.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Mi_web_ha_sido_Hackeada_%C2%BFQue_puedo_hacer\"><\/span>Mi web ha sido Hackeada, \u00bfQu\u00e9 puedo hacer?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Lo primero que debes de hacer es comprobar si tu servidor tiene una <strong>copia de seguridad reciente<\/strong>, si no es as\u00ed plant\u00e9ate en el futuro realizar copias autom\u00e1ticas, a trav\u00e9s de alg\u00fan plugin o desde tu servidor.<\/p>\n<p>Si existe una copia del servidor s\u00f3lo tendr\u00e1s que restaurarla y seguir los pasos de seguridad para proteger tu web, si no tienes copia deber\u00e1s de hacer lo siguiente, no me entretendr\u00e9 en explicar cada paso, simplemente nombrar\u00e9 una lista para poder restaurar tu web.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"20_reglas_de_Oro_para_proteger_tu_WordPress\"><\/span>20 reglas de Oro para proteger tu WordPress<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>A continuaci\u00f3n te dejamos 20 consejos para tener tu web en WordPress protegida de posibles ataques. Como puedes imaginar realizar estos consejos te ayudar\u00e1n, pero debes de saber que no son infalibles. Grandes plataformas son hackeadas cada d\u00eda en todo el mundo, con fuertes medidas de seguridad.<\/p>\n<ol>\n<li>Instalar un nuevo <strong>WP actualizado<\/strong> a la \u00faltima versi\u00f3n.<\/li>\n<li>Crear <strong>contrase\u00f1as seguras<\/strong>, que incluyan may\u00fasculas, min\u00fasculas, n\u00fameros y caracteres especiales, recuerda apuntarlas en alg\u00fan lado.<\/li>\n<li><strong>Revisar que la Base de Datos<\/strong> de tu web infectada no incluya c\u00f3digo malicioso, para ello solo debes de realizar una sencilla consulta SQL como esta:<\/li>\n<\/ol>\n<pre class=\"EnlighterJSRAW\" data-enlighter-language=\"null\">SELECT * FROM wp_options WHERE (option_id LIKE '%base64_decode%' OR option_name LIKE '%base64_decode%' OR option_value LIKE '%base64_decode%' OR autoload LIKE '%base64_decode%' OR option_id LIKE '%edoced_46esab%' OR option_name LIKE '%edoced_46esab%' OR option_value LIKE '%edoced_46esab%' OR autoload LIKE '%edoced_46esab%' OR option_name LIKE 'wp_check_hash' OR option_name LIKE 'class_generic_support' OR option_name LIKE 'widget_generic_support' OR option_name LIKE 'ftp_credentials' OR option_name LIKE 'fwp' OR option_name LIKE 'rss_%') order by option_id<\/pre>\n<p>Si la consulta te devuelve 0 resultados puedes estar tranquilo, pero si detecta alguna irregularidad debemos de arreglar la base de datos. Especial atenci\u00f3n a la tabla wp_option y wp_users.<\/p>\n<ol start=\"4\">\n<li>Una vez que sabemos que la base de datos est\u00e1 totalmente limpia, no existe c\u00f3digo malicioso y no hay usuarios registrados que no conozcamos, podemos <strong>importar la base de datos a una nueva base de datos<\/strong>, especial atenci\u00f3n de nuevo a la hora de crear el usuario y la contrase\u00f1a, no se lo pongas f\u00e1cil, que tus usuario y contrase\u00f1a sean seguras.<\/li>\n<\/ol>\n<p>Nota: Cambia el prefijo por defecto (wp_) a la hora de crear la base de datos.<\/p>\n<ol start=\"5\">\n<li>Ahora llega el momento de<strong> subir de nuevo el theme<\/strong> que tuvieras instalado, sube la \u00faltima versi\u00f3n del mismo.<\/li>\n<li>Lo mismo con los plugins que tuvieras instalados, s\u00fabelos de nuevo desde el respositorio de WP o desde el buscador propio de la instalaci\u00f3n de WP.<\/li>\n<li>Llega el momento de <strong>cambiar las contrase\u00f1as de tu hosting<\/strong> y borrar todas las cuentas de FTP desde tu hosting.<\/li>\n<li>Desde tu hosting tendr\u00e1s que <strong>proteger las carpetas de wp-admin y wp-login<\/strong>, esto lo podremos hacer desde la opci\u00f3n \u201cPrivacidad del directorio\u201d o \u201cdirectorios protegidos por contrase\u00f1a\u201d desde tu cPanel o Plesk.<\/li>\n<li>Debemos de <strong>reforzar el archivo xmlrpc.php,<\/strong> es posible a sufrir ataques de fuerza bruta en este archivo, este archivo sirve para postear de forma remota, as\u00ed que si no lo vas a usar lo mejor es bloquearlo.<\/li>\n<\/ol>\n<p>Solamente hay que modificar .htaccess a\u00f1adiendo este c\u00f3digo:<\/p>\n<pre class=\"EnlighterJSRAW\" data-enlighter-language=\"null\">&lt;Files xmlrpc.php&gt;\norder allow,deny\ndeny from all\n&lt;\/Files&gt;<\/pre>\n<ol start=\"10\">\n<li><strong>Borra la versi\u00f3n de WP<\/strong> de la secci\u00f3n wp_head<\/li>\n<li><strong>Desactiva el editor de plantillas<\/strong> (Apariencia &gt; Editor)<\/li>\n<\/ol>\n<pre class=\"EnlighterJSRAW\" data-enlighter-language=\"null\">## Disable Editing in Dashboard\ndefine('DISALLOW_FILE_EDIT', true);<\/pre>\n<ol start=\"12\">\n<li><strong>Refuerza tu WP<\/strong> con los siguientes plugins<\/li>\n<\/ol>\n<ul>\n<li>Login Lockdown: Bloquear intentos de acceso a WP con la misma IP.<\/li>\n<li>Backup WP: Copias de seguridad autom\u00e1ticas de archivos y base de datos.<\/li>\n<li>Captcha on Login: A\u00f1ade un Captcha a tu login y hazlo m\u00e1s seguro.<\/li>\n<li>WordPress Secury: Posiblemente el plugin de seguridad m\u00e1s completo y eficaz.<\/li>\n<li>New User Approve: Aprovaci\u00f3n manuel de nuevos usuarios.<\/li>\n<\/ul>\n<ol start=\"13\">\n<li><strong>Invierte en un hosting de calidad<\/strong>.<\/li>\n<li><strong>Agrega SSL<\/strong> a tu sitio web.<\/li>\n<li><strong>Reubicar el archivo wp-config.php<\/strong> mediante c\u00f3digo (en algunos servidores esto no se puede hacer) # protege archivo wp-config<\/li>\n<\/ol>\n<pre class=\"EnlighterJSRAW\" data-enlighter-language=\"null\">&lt;files wp-config.php&gt;\norder allow,deny\ndeny from all\n&lt;\/files&gt;<\/pre>\n<ol start=\"16\">\n<li><strong>Proteger el archivo .htaccess.<\/strong> Evita el acceso externo a este archivo mediante c\u00f3digo.<\/li>\n<\/ol>\n<pre class=\"EnlighterJSRAW\" data-enlighter-language=\"null\"># protege el archivo htaccess\n&lt;files .htaccess&gt;\norder allow,deny\ndeny from all\n&lt;\/files&gt;<\/pre>\n<ol start=\"17\">\n<li><strong>Cambiar la URL wp-admin<\/strong> para acceder al admin de WP.<\/li>\n<\/ol>\n<p>Podemos hacerlo mediante los siguientes plugins:<\/p>\n<ul>\n<li>WPS Hide Login<\/li>\n<li>Rename Wp Login<\/li>\n<li>Lockdown WP Admin<\/li>\n<\/ul>\n<ol start=\"18\">\n<li>Combate el <strong>SPAM<\/strong>.<\/li>\n<\/ol>\n<p>WP-reCAPTCHA es un plugin que <strong>marca los comentarios como SPAM<\/strong>, la maldici\u00f3n de muchos blogs tanto en los comentarios como en los formularios de contacto, adem\u00e1s el SPAM puede comprometer la seguridad de tu web.<\/p>\n<ol start=\"19\">\n<li>Eliminar archivos innecesarios.<\/li>\n<\/ol>\n<p>Durante la instalaci\u00f3n de WP se crean algunos archivos que ya no ser\u00e1n necesarios y dejan pistas y agujeros de seguridad, como la versi\u00f3n de WP o de PHP.<\/p>\n<p>\u00bfQu\u00e9 archivos debo de borrar?<\/p>\n<ul>\n<li><strong>config-sample.php<\/strong><\/li>\n<li>txt<\/li>\n<li>txt<\/li>\n<li>html<\/li>\n<\/ul>\n<ol start=\"20\">\n<li>Usar la <strong>\u00faltima versi\u00f3n de PHP<\/strong><\/li>\n<\/ol>\n<p>PHP es la columna vertebral de WordPress, cualquier sitio que use una versi\u00f3n inferior a PHP 7.0 est\u00e1 expuesto a m\u00e1s vulnerabilidades de seguridad.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"GUIA_DE_SEGURIDAD_EN_WORDPRESS\"><\/span>GU\u00cdA DE SEGURIDAD EN WORDPRESS<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<div style=\"width: 100%;\">\n<h2 style=\"position: relative; padding-bottom: 50%; padding-top: 0; height: 0;\"><iframe loading=\"lazy\" style=\"position: absolute; top: 0; left: 0; width: 100%; height: 100%;\" src=\"https:\/\/view.genial.ly\/5bf283875a85c179fab90b80\" width=\"1600px\" height=\"800px\" frameborder=\"0\" scrolling=\"yes\" allowfullscreen=\"allowfullscreen\"><\/iframe><\/h2>\n<\/div>\n<h2><span class=\"ez-toc-section\" id=\"RESUMEN_PARA_PROTEGER_TU_WORDPRESS\"><\/span>RESUMEN PARA PROTEGER TU WORDPRESS<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Como puedes ver existen <strong>m\u00faltiples formas de atacar tu WP<\/strong>, pero tambi\u00e9n de reforzar la seguridad para tener una web m\u00e1s segura.<\/p>\n<p>Su web es su negocio, es la cara online de su empresa, y para muchos, sus ingresos, por lo que es importante dedicar un tiempo a analizar e implementar las medidas necesarias para <strong>mejorar la seguridad de su WP<\/strong>.<\/p>\n<p>Muchas veces solo hay que tener sentido com\u00fan, como utilizar contrase\u00f1as seguras o actualizar plugin o theme. WP puede ser una puerta muy f\u00e1cil de entrar si no lo protegemos, por lo que te aconsejamos que tomes estos consejos de seguridad en tu WordPress para tener una web m\u00e1s fiable y segura.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>\u00bfTu web ha sido hackeada? Tutorial de seguridad en Wordpress con las 20 medidas m\u00e1s importantes para proteger tu web de futuros ataques. Gu\u00eda Completa para protegerte contra los hacker.<\/p>\n","protected":false},"author":1,"featured_media":1079,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[19],"tags":[17,18],"class_list":["post-809","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-wordpress","tag-seguridad","tag-web"],"_links":{"self":[{"href":"https:\/\/madeinmedia.es\/blog\/wp-json\/wp\/v2\/posts\/809","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/madeinmedia.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/madeinmedia.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/madeinmedia.es\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/madeinmedia.es\/blog\/wp-json\/wp\/v2\/comments?post=809"}],"version-history":[{"count":1,"href":"https:\/\/madeinmedia.es\/blog\/wp-json\/wp\/v2\/posts\/809\/revisions"}],"predecessor-version":[{"id":1080,"href":"https:\/\/madeinmedia.es\/blog\/wp-json\/wp\/v2\/posts\/809\/revisions\/1080"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/madeinmedia.es\/blog\/wp-json\/wp\/v2\/media\/1079"}],"wp:attachment":[{"href":"https:\/\/madeinmedia.es\/blog\/wp-json\/wp\/v2\/media?parent=809"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/madeinmedia.es\/blog\/wp-json\/wp\/v2\/categories?post=809"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/madeinmedia.es\/blog\/wp-json\/wp\/v2\/tags?post=809"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}