Recuerda: más vale prevenir que curar.
Y esta conocida frase se aplica perfectamente a la seguridad y salud de nuestro blog o página web. No hay un sistema 100% seguro, pero se puede conseguir una web bastante segura siguiendo una serie de normas, algunas de ellas extremadamente sencillas.
En esta entrada vamos a contar esta serie de reglas y procedimientos, la mayoría muy sencillos, para conseguir un buen nivel de seguridad para nuestra página o blog. Importante: esto no evita que nuestra página pueda ser hackeada, pero se lo pondremos difícil atacante. Lo que si podemos asegurarte es que, si no sigues alguna de estas reglas, el posible atacante lo tendrá mucho más fácil.
Índice
Asegura lo que tienes
No es una regla de seguridad, pero es una regla fundamental: haz una copia de seguridad antes de hacer nada.
¿Qué es una copia de seguridad (o backup)?
Es una copia del estado actual de tu página o blog que, en caso de necesidad, nos permite restaurarla y dejar la página o blog en el mismo estado en que se encontraba en el momento que se hizo esta copia.
¿Qué pasa con los cambios y nueva información que has incluido en tu página desde el momento que hiciste la copia de seguridad hasta el momento que la restauras? Sencillo: lo pierdes.
Por este motivo, tenemos que hacer copias periódicas de forma automática. Y copias puntuales antes de hacer algún cambio importante.
Si usas un hosting de calidad, cómo Siteground, seguro que te proporcionan copias de seguridad automáticas y de calidad. ¿Por qué programar nosotros copias adicionales? No nos cuesta nada y nos aseguramos de tener una copia actualizada (ya sea la del hosting o la nuestra).
La copia de seguridad también será nuestra salvaguarda si nuestra página ha sido hackeada. Si no conseguimos recuperarla o limpiarla, la única opción que nos queda es restaurar una copia limpia.
¿Es WordPress seguro?
Si estas usando Wordpress en tu blog o página, seguro que te estás haciendo esta pregunta.
Como comentábamos anteriormente, hoy en día no hay sistema 100% seguro. Partiendo de esta base, si se puede afirmar que Wordpress es uno de los CMS más seguros.
¿Por qué? Porque es el CMS más usado, con constantes actualizaciones y una enorme comunidad que detecta y resuelve rápidamente los problemas de seguridad. Pero ser el CMS más usado y la enorme cantidad de temas y plugins disponibles también le hacen ser uno de los sistemas más atacados. Si no gestionas bien los plugins y temas que tienes instalados, puedes crear un agujero de seguridad que seguro que es aprovechado por un hacker.
Actualiza
No actualizar nuestros Wordpress y sus componentes es una puerta abierta a los hackers.
Periódicamente, tanto Wordpress como los desarrolladores de plugins y temas publican actualizaciones, muchas de ellas para mejorar la seguridad o en respuesta a vulnerabilidades detectadas. Instalar estas actualizaciones es fundamental para mantener la seguridad de tu página.
Siempre, antes de instalar una de estas actualizaciones, asegúrate que dispones de una copia de seguridad reciente.
Si la actualización incluye cambios importantes, es mejor probarla en un entorno local y después de asegurarte que todo funciona bien, hacerlo en la página.
Usa una versión actual de PHP
PHP es el lenguaje en que está desarrollado Wordpress y gran parte de los plugins.
Por eso es importante utilizar la versión más actual que nos ofrezca nuestro hosting y sea compatible con nuestra página.
Además de mejorar la seguridad, usando versiones más modernas de PHP aumentaremos la rapidez de nuestra página.
Se Legal
Aunque WordPress destaca por números temas y plugins gratuitos de gran calidad, en muchas ocasiones necesitamos los llamados temas o plugins de pago o premium que añade funcionalidades respecto a los gratuitos.
Tras una búsqueda rápida en Google, encuentras esos elementos gratis sin tener que pagar y con todas sus funcionalidades: genial, para que pagar lo que puedo tener gratis.
Aparte de que estas cometiendo un delito y sin entrar en consideraciones morales, en el mejor caso vas a obtener ese elemento sin soporte, por lo que no tendrás la última versión y tendrás una puerta abierta a los hackers.
Pero en el 99,99% de las ocasiones, estos “nulled” tienen regalo en forma de malware o cosas peores, por lo que tu blog será una fuente de anuncios porno en el mejor de los casos. Seguramente tú te enteraras cuando el daño a la credibilidad de tu blog ya sea irreparable.
En este caso no es el hacker el que fuerza tu casa, eres tú el que le abre la puerta y le instala cómodamente y sin esfuerzo por su parte. Tú decides. Nosotros no usamos Nulled. (link)
En los foros de Wordpress puedes encontrar cientos de casos donde un desesperado dueño de una página o blog pide ayuda ya que, de repente, aparecen anuncios no deseados o redirecciones a páginas externas, sin que ellos hayan hecho nada. El 99% de los casos el causante es un tema o plugin pirata. Tú decides.
Hosting
El hosting donde tengamos nuestra página o blog es la primera barrera de protección y una de las más eficaces.
La seguridad es uno de los motivos por lo que resulta interesante contratar empresas de hosting de calidad, aunque nos salgan un poco más caras.
Un buen hosting estará al día en las medidas de seguridad y monitorización que aplican en sus servidores. De forma adicional, nos proporcionaran herramientas para mejorar nuestra seguridad (como certificados SSL o copias de seguridad). Nosotros recomendamos Siteground.
Passwords y Usuarios
El usuario y la password es la puerta y la cerradura de tu página.
No uses nombres para los usuarios administradores que puedan dar pistas de que es un usuario administrador: admin, administrador o administrator son lo primero que prueban los robots para intentar saber el usuario que tienen que usar para atacar tu web. Si conocen el nombre de un usuario administrador de tu web, ya saben la puerta por la que tienen que entrar.
Si usas admin como usuario con privilegios de administrador y 1234 como password, te puedes imaginar lo poco que van a tardar a entrar a tu web, y la gente lo usa.
También es típico usar el mismo usuario de tu Twitter o Instagram y como password tu cumpleaños el de tus hijos, que a su vez también tienes publicado en dichas redes sociales.
Usa contraseñas de, al menos, 10 caracteres con mayúsculas, minúsculas, números y símbolos (*,#,?…).
Y no uses la misma password para todo. Puedes crear una parte común y luego una variación que te recuerde donde las estas usando. Pero algo muy específico que sólo tu conozcas. Tampoco es buena idea poner el dominio del sitio 😉.
Instala un plugin de seguridad
Este tipo de plugins nos ayudan a proteger nuestra página, pero no por instalar un plugin de este tipo ya tienes que no seguir el resto de las reglas (como la complejidad de las passwords).
Instalar dos o más de estos plugins no incrementan la seguridad, pero disparan los problemas y pueden hundir el tiempo de respuesta de tu página.
Nosotros usamos Ithemes Security, ya que la versión gratuita nos proporciona los elementos de seguridad que necesitamos y es sencilla de configurar (link). Otros plugins de seguridad gratuitos son Wordfence, Securi y All in one. En esta guía te mostramos cómo configurar Ithemes Security.
Es importante que configuréis estas reglas:
- Cambiar la dirección de acceso para el administrador: nuestrositio/Wp-admin. Cambiaremos la ruta de acceso por lo que un posible atacante tendrá que saber la nueva ruta para intentar acceder.
- Limitar los intentos fallidos de inicio de sesión: Esto nos protegerá de los ataques por fuerza bruta en los que se prueban usuarios y contraseñas al azar hasta conseguir entrar. Recuerda lo que hemos comentado de las contraseñas.
- Proteger los ficheros de configuración como el wp-config.php.
- Deshabilitar XML-RPC.
- Cambiar prefijo de las tablas en la base de datos: Si seguiste nuestra guía de instalación de Wordpress, ya lo tienes hecho. Si tienes el que pone por Wordpress por defecto, cámbialo, pero con una copia de seguridad actualizada a mano.
- Deshabilitar la opción de Wordpress de editar archivos.
HTTPS
Instalar un certificado HTTPS para proteger tu página aumenta tu seguridad y la de tus usuarios. Ahora es sencillo y muchos proveedores de hosting lo ofrecen de forma gratuita.
Cambiar los permisos de los archivos y directorios
Todos los archivos y carpetas que necesita nuestra página para funcionar están instalados en un disco manejado por un sistema operativo. A estos ficheros y carpetas se les asigna unos números que definen que usuarios puedes leerlos, modificarlos y borrarlos.
Por defecto, configuraremos las carpetas con permisos 755 y los archivos con permisos 644.
Esta guía te ayudara a cambiar los permisos de los archivos de tu página.
¿Puedo hacer más?
Estas son las reglas mínimas, pero hay otras que incrementaran la seguridad de tu página. Pero recuerda, si no cumples alguna de las reglas sencilla que hemos visto, el riesgo de que alguien entre en tu página será muy alto.
Si tienes alguna pregunta o algún punto no te ha quedado claro, no dudes de preguntarlo en la sección de comentarios o en nuestras redes sociales.
Cargando...
