Aprende a mejorar la seguridad Web de tu WordPress

De un modo breve, pero no menos eficaz, trataré de darte algunos consejos para mejorar la seguridad Web de WordPress.

Millones y millones de empresas usan este gestor de contenidos para el diseño y desarrollo web (y ecommerce) de su negocio y pese a que esta plataforma, de serie, parece segura, algo más de seguridad nunca está de más. (Lo recomiendo siempre, a pesar de que la gran mayoría de clientes miran hacia otro lado cuando les comento estos detalles).

Actualmente la ciberseguridad es un tema candente pero a la mayoría de usuarios de WordPress no les preocupa lo suficiente los temas sobre seguridad Web. Piensan: «A mi no me va a pasar nada», o «Ya lo haré en un futuro»… ¡Primer Error!

Cuando se trabaja con una metodología inteligente (como podría ser el Inbound Marketing) que trata de conseguir contactos (y clientes) a través de una plataforma de negocio online (usando formularios, contenido de atracción, posicionamiento Seo… y otras artefactos) muchos de estos datos podrían ser comprometidos en el futuro de no tener en cuenta algunos aspectos de seguridad web básicos

Normalmente, cuando estudio la web de un cliente (especialmente si se trata de seguridad, aunque no exclusivamente), me fijo principalmente en la información de más fácil acceso:

• Los nombres de usuario (Solo hay que fijarse en los comentarios del blog para identificar algunos datos susceptibles, pues WordPress utiliza el nombre de usuario, como el nombre acceso por defecto. Es este punto, un Hacker o posible atacante, tendría más de la mitad del trabajo hecho, y solo necesitaría averiguar la contraseña).
• La dirección URL de administración (Si no se ha cambiado está dirección por defecto, es para todas las instalaciones WordPress un estándar, la cual se encuentra en tudominiio.es/wp-admin/. Y que esta dirección sea conocida por el posible Hacker vuelve a ser muy contraproducente)
• Los archivos Sitemap.xml y Robot.txt tienen a menudo, muchos datos que de serie, no queremos (y no quiere WordPress) que sean indexados por los motores de búsqueda. Y el que algo oculta, es que algo importante esconde) 

Y además, junto a estos detalles anteriormente nombrados, suelen existir exploits o vulnerabilidades importantes en determinadas versiones de WordPress y/o Plugins utilizados en tu web (Por ello es tan importante saber lo que se instala y fundamental eliminar aquello que no se utiliza. Además es de fuerza mayor mantener siempre actualizada tanto la versión de WordPress como las última versiones de los plugins instalados, aunque estén desactivados, para evitar ver comprometida la seguridad web de tu página gestionada con WordPress)

Cómo mejorar la seguridad Web con WordPress utilizando el Plugin All in One WP Security

Este es un Plugin gratuito que mejora la seguridad Web de WordPress, y es muy fácil de usar y entender por usuarios incluso con bajo conocimiento de las nuevas tecnologías.

Tal y como aseguran sus desarrolladores, este Plugin no afecta en nada a la velocidad de carga (por lo que no perjudicará en nada al tan preciado SEO) y mejorará la seguridad de tu página web. Tan solo hay que activar algunos aspectos de seguridad y estarás mejorando considerablemente la seguridad que WordPress trae de serie.

Algunos de los aspectos sobre los que se fija el plugin para hacer más segura la web de tu negocio online son:

Cómo el plugin puede mejorar la seguridad Web de WordPress del lado del cliente

• El Plugin de seguridad web detecta automáticamente si algún usuario conserva su cuenta con el nombre de serie «admin»
• Detecta si el nombre del usuario y el nombre de acceso son idénticos, lo cual es una práctica muy común y nada recomendada. Solucionada esta práctica mejorará considerablemente la seguridad web en tu página (En su caso, el plugin te recomendará que cambies estos datos para que tu Web deje de ser vulnerable)
• Permite comprobar y medir la efectividad de una contraseña elegida, mostrándote un mensaje tan crudo y directo como: «La contraseña elegida puede ser descifrada por un software específico (de hackeo) en menos de 60 segundos»
• La función Lockdown de seguridad web (bloqueo por demasiados intentos) se encarga de proteger contra “Ataques de Fuerza Bruta» el inicio de Sesión (El Plugin también permite bloquear ataques de fuerza bruta a través de un sistema basado en una Cookie de seguridad)
• Permite conocer las direcciones IP de los usuarios bloqueados (pudiendo desbloquearlas a golpe de click), además de mostrar el número de intentos fallidos y otros datos de interés (como hora de intento de acceso, nombre de usuario con el que intentó la intrusión, IP, etc…)
• El plugin permite cerrar la sesión de los usuarios activos tras pasar X minutos (pudiendo configurar el tiempo deseado) 
• Monitoriza y hace un seguimiento de los acceso (e intentos de accesos), mostrándonos, la hora, y el día en el que se produjo el acceso, haciendo un seguimiento de los nombres de usuario, id, IP, etc…
• Permite crear listas de IP blancas, para permitir el acceso a la administración de la web (también permite crear listas negras para denegar el acceso a cierta IP o rangos de IPs)
• Añade un campo Capcha tanto a los formularios de acceso, como al formulario de recuperación de contraseña, y a los comentarios de WordPress nativos (lo cual reducirá considerablemente la posibilidad de recibir SPAM)
• Nos permite añadir un sistema Honeypot al formulario de registro de usuarios de WordPress para reducir los intentos de registro de los robots (una técnica de ciberseguridad que consiste en colocar un señuelo reforzar la seguridad)

Cómo te ayuda a mejorar la seguridad Web de WordPress relacionada con la base de datos

• El Plugin de seguridad web permite cambiar el prefijo WP a la base de datos (ya que seguramente usaste el predefinido) si no lo cambiaste en el momento de la instalación
• Permite realizar copias de seguridad de la base de datos (o programarlas y enviarlas vía correo electrónico)

Con este Plugin puedes mejorar la seguridad Web de WordPress relacionada con el sistema de archivos

• Permite identificar los archivos o carpetas que tienen configuración de permisos que no son seguros y te permite establecer los permisos correctos de dichas carpetas o archivos
• Permite desactivar la edición de archivos vía administración de WordPress
• Evita que se pueda acceder a archivos con información importante como readme.html, license.txt y los archivos wp-config-sample.php donde se muestran datos relacionados con las versiones de WordPress o incluso datos que podrían comprometer la seguridad.
• Se pueden crear copas de seguridad y restaurarlas a golpe de click, de los archivos .htaccess y wp-config.php (también permite modificarlos desde el panel de administración)

Estas son otras características del Plugin que pueden ayudar a mejorar la seguridad Web de WordPress para tu página

• Permite seleccionar si se desea o no, que se puedan usar las funcionalidades del botón derecho al navegar por tu web (o seleccionar, etc…)
• Se puede configurar para recibir avisos de cambios en archivos para evaluar automática, o manualmente, si son cambios naturales o has sido infectado por algún hack (permite escanear las cadenas de texto de la base de datos para saber si se han tratado de realizar inyecciones SQL en tu web con código malicioso)
• Evita que se generen comentarios en tu web si se no se han producido desde tu dominio (lo que reducirá la posibilidad de SPAM)
• Permite poner la web en mantenimiento sin necesidad de otro plugin

Y si necesitas más, con este Plugin, podrás mejorar la seguridad Web de WordPress a través del archivo .htaccess con funcionalidades cortafuegos

Además de todas las funcionalidades descritas anteriormente el Plugin permite configurar la seguridad web con gran cantidad de acciones basadas en prevención cortafuergos mediante el archivo .htaccess (ya que este es el archivo que tu servidor procesa antes que cualquier otro código). De este modo se detendrá cualquier script que se pudiera ejecutar, y se considere malicioso antes incluso de cargar los archivos de tu propia corazón de WordPress.