Índice de contenidos
Proteger tu blog WordPress de ataques con algún plugin de seguridad
Un día una amiga me vino muy preocupada con que le habían hackeado su página. A veces como en este caso es porque «unos supuestos hackers», le habían hackeado la web y le pusieron la gracieta de «estas hackeado», o algo por el estilo.
Ella no entendía nada porque me decía:
¡Pero si mi página web no la conoce ni mi madre, no tengo casi nada de contenido! ¿Porque a mí?…..
Pues porque justamente los blogs nuevos dejan un rastro de que es un blog de novato (como por ejemplo: dejar entradas y comentarios por defecto) y son más fáciles de atacar, incluso por supuestos hackers, que no dejan de ser jóvenes que se divierten sin apenas conocimientos.
Pero a veces es más problemático cuando te hackean y ni lo sabes. Utilizan tu página para delinquir, enviando spam, crear redes de botnet para hacer ataques mayores a otros sitios, crear páginas adicionales para realizar estafas y un largo etc..
En riesgo siempre vamos a estar, pero es mejor estar protegidos para que no nos toque a nosotros. Esto es como lo de tener una alarma en casa, te pueden robar si les interesa mucho, pero lo normal es que se vayan al vecino que no la tiene.
Si tu página tiene suficientes medidas de seguridad y para el hacker malo le cuesta más, o los robots que pululan por internet buscando vulnerabilidades lo tienen más difícil para encontrarlas, pasarán de largo.
Hoy día el ataque masivo a páginas WordPress es una lacra. Es normal que dado la cantidad de blogs y páginas que están desarrolladas en WordPress, el riesgo sea mayor.
Una de las razones por las que salen tantas actualizaciones, es para tapar agujeros de seguridad y estar más protegidos de ataques.
La mejor protección para protegernos de ataques
Primero de todo contratar un buen Hosting con medidas Anti-Hackeo como el de Webempresa.
Mírate la entrevista del responsable comercial de Webempresa.
Una vez instalado nuestro WordPress:
#Instalar y configurar un plugin de copias de seguridad.
#Instalar y configurar un plugin de seguridad contra ataques.
#Actualización a la última versión de WordPress.
#Actualización de plugins y temas.
Nunca instales temas ni descargues plugins de sitios que no sean oficiales.
Si quieres empezar abriendo boca, pásate este scanner gratuito y te dirá la salud de tu página web.
Plugin iThemes Security para proteger tu blog de ataques
Después de haber probado algunos plugins de seguridad para WordPress, me quedo con iThemes Security antes conocido por Better WP Security. Como ves, tiene muchas opciones que te pueden volver loco y no saber que hacer. Pero puedes verte el vídeo donde te explico las características más importantes que debes configurar para que estés suficientemente protegido.
Tenemos otro plugin de seguridad que yo de momento no lo he probado que hablan muy bien de él. Es Ninja Firewall para WordPress, por si le quieres echar un ojo.
iThemes Security como funciona
La instalación del plugin la hacemos desde el panel de WordPress, añadir plugin.
Una vez instalado y activado el plugin, accederemos al menú de iThemes Security y directamente nos aparecerá una ventana tipo pop-up de los pasos importantes antes de seguir adelante:
1# Back up your site
La primero es hacer una copia de seguridad.
2# Allow File Updates
Permitir actualizaciones de ficheros wp-config.php y .htaccess, para el buen funcionamiento.
3# Secure Your Site
Se aplicarán ajustes por defecto para que no se produzcan conflictos con temas y plugins
4# Help Us Improve
Si le damos al botón «yes», pues recolectará información anónima para realizar mejoras.
Llegados a este punto tendrías una seguridad mínima, que para muchos ya sería suficiente. Pero si seguimos adelante, aseguraremos mejor el blog.
Menú principal
Antes de empezar a configurar nos aparece «Temporarily Whitelist my IP», que si le damos al botón nos guardará temporalmente nuestra IP en una lista blanca, por si la liamos, que podamos acceder a nuestro blog durante 24h, y devolver al estado anterior.
Desde el menú principal accederemos a las pestañas para la configuración de iThemes:
Dashboard
Al acceder encontraremos un vídeo de presentación en inglés del plugin.
Luego la herramienta nos da una serie de apartados a arreglar(Fix it), que debemos hacer para mejorar la seguridad del blog. Para darnos una idea de la importancia las clasifica por colores: rojo, amarillo y azul. Como puedes intuir el rojo es lo que deberías de cambiar lo antes posible, luego haremos diferentes cambios también de la zona amarilla y azul.
Settings
Aquí tenemos la mayoría de los ajustes del plugin. Nos podemos mover con un pequeño menú si queremos acceder directamente a la parte que nos interesa.
Advanced
Es la parte más avanzada y tiene algún apartado como: cambiar el usuario «admin» por defecto, sustituir el prefijo de la base de datos.
Backups
Este apartado es para configurar las copias de seguridad, que yo te aconsejo mejor el plugin BackWPup, que puedes ver el post aquí o el vídeo directamente en mi canal de YouTube.
Logs
Este apartado nos indicará los intentos de acceso no autorizados. Tendremos información de IPs que podemos bloquear el acceso a nuestro blog.
Help
Principales ajustes para proteger tu blog WordPress de ataques
Como he comentado, hay multitud de ajustes para hacer en nuestro blog, que dependerán de las necesidades de cada uno. Si hay alguna opción que tengas dudas, mejor siempre haz copias de seguridad. iThemes Security es muy completo y tiene ajustes avanzados, que tienes que tener conocimiento para poder tocar.
Aquí vamos a ver los ajustes que nos pueden servir para tener un blog más seguro. Ten en cuenta que dependerá de cada web que salgan más prioridades en rojo, en mi caso solo sale una, pero probablemente te salgan más.
Prioridad alta
# Copia de seguridad de la base de datos
Programación de los backups, intervalo de días para las copias.
Prioridad media
# 404 detection
Detecta múltiples errores de página no encontrada(404) y bloquea al usuario que los está produciendo. Se puede configurar la cantidad de errores y tiempo que estará baneado. Suele ocurrir cuando están escaneando tu blog para detectar vulnerabilidades.
# Cambiar el usuario «Admin» por defecto
Elimina los atributos del usuario «admin», que vienen por defecto. Una vez cambiado nos sacará fuera de WordPress y tendremos que volver a loguearnos.
# Away mode
Esta opción es para bloquear el acceso a nuestro WordPress a determinadas horas, periodos, como podría ser bloquear el acceso cuando estamos de vacaciones y no tiene que entrar nadie al blog, pero ¡ojo!, nosotros tampoco podremos entrar. Mucho cuidado con esta opción.
# Protección contra ataques de fuerza bruta
Bloquea los intentos de login bloqueando equipos, usuarios, durante el tiempo que indiquemos. También lo podemos configurar como mejor nos convenga.
# Cambiar el prefijo de la base de datos (wp_)
WordPress por defecto tiene el prefijo(wp_). Podemos cambiar este prefijo. Se generará un prefijo aleatorio que no se puede adivinar para protegernos de ataques. Este cambio no es recomendable si ya tenemos contenido, es mejor hacerlo al principio de la creación del blog. Sobre todo haz copias de seguridad antes de hacer estos cambios.
# Banear o bloquear IPs
Muchos ataques provienen de bots, podemos bloquear IPs y rangos de IP (Ban Hosts). Desde el menú principal (logs), podemos ver el intento de ataques y desde esta opción bloquear el acceso.
Si marcamos la casilla de «hackrepair.com», estaremos directamente protegidos de muchas IPs pertenecientes a una lista negra de potenciales atacantes.
Tenemos muchas más opciones para ir mejorando la seguridad y proteger tu blog WordPress de ataques, pero cada cual depende de su página. Lo tendrás que configurar a tu manera.
Espero que te haya sido útil este post, y lo compartas con los botones de aquí debajo en las redes sociales.
Hasta pronto y te espero en los comentarios.
¡DESCARGAR EBOOK GRATIS!
Suscríbete gratis y te envío ahora mismo la Guía del Emprendedor Digital.
Responsable: José Miguel García Finalidad: enviarte mis nuevos contenidos y correos comerciales Legitimación: tu consentimiento Destinatarios: tus datos se encuentran alojados en mi plataforma de email marketing Active Campaign suscrita al PrivacyShield Derechos: Puedes ejercer tus derechos de acceso, rectificación, limitación o eliminar tus datos.
Muy útil José Miguel.
Wordfence Security, ¿lo has probado? Es el que recomienda la mayoría. Yo le tengo.
¿Cambiar el usuario Admin por defecto? ¿Eso es que te permite crear un nuevo nombre de usuario?
Sobre cambiar el prefijo de la base de datos, tengo entendido que algunos plugins dejan de funcionar por este motivo. ¿Sabes algo?
Saludos y gracias por tomarte la molestia de describir cada apartado.
Hola Joan!
Wordfence es un plugin muy bueno que normalmente también uso, voy probando en distintas instalaciones para ir viendo las diferencias. Entre uno y otro yo escogería con el que me sienta más a gusto son muy similares.
El usuario admin una vez creado WordPress le asigna un ID, que es el 1 al ser el primero que se crea. Podemos cambiar este ID por otro número para que no sea identificado.
El cambio del prefijo de las bases de datos siempre hay que hacerlo al principio de instalar nuestro WordPress y mejor si no hay ningún plugin instalado que sería lo normal si acabamos de instalar WordPress.
Gracias por tu comentario y saludos!