Teniendo en cuenta que, según los datos de w3techs, casi un 43% de las webs que hay están hechas con Wordpress, no es raro que este gestor de contenido sea el objetivo principal de hackers y ataques informáticos a páginas. Por eso, hoy vamos a ver cómo blindar nuestra web de Wordpress para que esté protegida contra ciberataques.

Para ello vamos a ver los mejores consejos de ciberseguridad para Wordpress, explicados de la manera más sencilla posible. Eso sí, es cierto que vamos a explicar algunas técnicas un poco más complejas, aptas sobre todo para empresas e iniciativas más grandes que usen Wordpress. En esos casos, asumo que tienen a informáticos capaces de implementar esas soluciones.

Para la mayoría, sin embargo, los consejos más sencillos protegerán a su Wordpress contra los ataques más habituales.

Puedes usar esta información como lista de chequeo e ir viendo qué tenemos habilitado para proteger nuestro Wordpress contra hackers. No es necesario usar todos los métodos ni mucho menos. De hecho, algunos como poner la administración tras una VPN puede ser exagerado para la mayoría, pero es interesante que apliquemos los que podamos y que no interrumpan el flujo de trabajo.

Obviamente también, no es lo mismo un Wordpress de una web personal sobre aficiones que la página de una empresa con información sensible. En el segundo caso, deberemos hilar mucho más fino y aplicar cuantos más métodos de protección, mejor.

Ten actualizado en todo momento tu Wordpress

Así es como se hackean la mayoría de webs: se encuentra una vulnerabilidad en el código o en la base de datos, un error al programar, que se explota para ganar acceso, causar destrozos, etc.

Esos errores de programación son normales e inevitables, pero con las actualizaciones se corrigen y se cierra la puerta a ciberataques que los aprovechan.

Es por eso que debemos tener siempre actualizados nuestros ordenadores, teléfonos y, en este caso, nuestro Wordpress. Eso incluye temas y plugins que, como veremos, suelen ser la entrada principal de los hackers, más que el código principal del CMS.

Por suerte, implementar esta medida de seguridad es muy sencilla, podemos decirle a la web Wordpress que se actualice automáticamente.

Normalmente, Wordpress ya viene preconfigurado para actualizarse solo a todas las versiones, mayores o menores. Sin embargo, podemos configurar que solo sea para versiones menores (por aquello de que a veces Wordpress te da la sorpresa y no funciona tras una actualización mayor), con la opción: Cambiar a actualizaciones automáticas solo para versiones de mantenimiento y seguridad.

La podemos encontrar en el Menú Escritorio > Actualizaciones. Ahí, es mejor dejar que actualice siempre todo y no tocar nada.

Desde esa sección podemos también actualizar en masa plugins y temas. Sin embargo, los plugins se pueden configurar para actualizarse automáticamente también.

Para eso, nos vamos a la sección de menú Plugins > Plugins instalados y hacemos clic al lado de cada plugin, en el enlace “Activar las actualizaciones automáticas”. Puedes ampliar la imagen haciendo clic en ella para verla mejor.

Si no has actualizado los temas en la sección global de Actualizaciones del Escritorio de Wordpress, como hemos comentado más arriba, puedes actualizar también yendo a: Apariencia > Temas y pulsar en “Actualizar ahora” para cada tema que tengas desfasado.

Y hablando de tener muchos temas y plugins de Wordpress por ahí sin actualizar, como en las imágenes de arriba…

Usa los plugins y temas mínimamente necesarios y ni uno más (y que se actualicen a menudo)

El código principal de Wordpress no es el único quebradero de cabeza por el cual se pueden colar los atacantes, vía bugs o errores. A él le tenemos que añadir el código de los plugins.

De hecho, suelen ser estos complementos adicionales los que facilitan muchos de los ataques a Wordpress, porque los hackers encuentran vulnerabilidades y errores que explotar. Los plugins son escritos por programadores de todas clases, desde empresas consolidadas (a las que se les suponen más seguridad y recurso), hasta aficionados haciendo sus pinitos.

Eso, cuando el plugin no es directamente malware en sí mismo, adware o similar, aunque eso suele ser más raro, pero posible.

Es por eso que la situación con los plugins es un caos. Por este motivo, la recomendación para asegurar nuestra web de Wordpress es:

• Usar los mínimos plugins posibles para que nuestra web haga lo que necesitamos y ni uno más.
• Que dichos complementos vengan de empresas reputadas o, al menos, desarrolladores activos, conocidos, de código abierto que se pueda examinar…
• Que se actualicen a menudo, corrigiendo esos errores y bugs que suelen explotar los hackers.

En serio, casi todos los quebraderos de cabeza vienen por complementos o plugins que no se actualizan en años o están programados de manera chapucera.

Elimina todo tema y plugin que no uses

Al hilo del consejo anterior, si algún tema ya no lo usamos o algún plugin lo hemos desconectado, debemos borrarlos completamente.

No tiene sentido tener posibles puertas traseras abiertas por las que se puedan colar y que ni siquiera estemos usando.

Y sí, lo sé, en algunas empresas los usuarios se quejan de que, con no sé qué plugin que no conoce nadie y no se actualiza en meses, el trabajo de creación de contenido o algo así sería más sencillo.

Como siempre, la ciberseguridad suele estar peleada con la conveniencia. Elijamos la seguridad, porque sin ella, no quedará conveniencia, ni nada de la web, tarde o temprano.

Así que la regla básica es los plugins imprescindibles para trabajar y absolutamente ninguno más.

Elige un buen proveedor de alojamiento web

Al final, da igual que levantemos todos los muros de nuestra fortaleza si la constuimos sobre una base de arena. Si nuestro proveedor es poco fiable, no actualiza servidores o, en general, ofrece un servicio muy barato, no es raro que tenga una seguridad muy barata.

Por eso, elige siempre un proveedor de confianza, con buenas reseñas. No puedes esperar pagar 3 euros al mes y querer que te protejan contra DDOS, tengan buena políticas de copia de seguridad, etc.

Como en todo en esta vida, obtienes lo que pagas y, con el hosting, también. No seas rácano, o estarás dejando al descubierto un flanco en el que, encima, no tendrás capacidad de actuación ante desastres.

Y hablando de DDOS…

Contrata un servicio anti-DDOS

El ataque más común que va a recibir una web Wordpress (y una web de cualquier tipo en general) será el llamado Ataque Distribuido de Denegación de Servicio (DDOS con sus siglas en inglés).

Si alguien pone tu web en el punto de mira, seguramente comenzará con esta salva de artillería para probar tus defensas.

Este ataque se basa en hacer miles y miles de peticiones concurrentes por segundo desde distintas IPs que saturan el servidor y lo hacen caer. Y si no lo hacen caer del todo, lo vuelven demasiado lento o casi imposible de acceder.

Un horror, porque si hay algo peor que no tener Internet es que esta vaya lenta.

Por suerte, hay empresas que protegen contra la denegación de servicio y no son caras para las necesidades que tienen muchas webs de Wordpress.

Cloudflare es el servicio más conocido en este sentido y no quiero liar con muchas opciones. Es barato, es efectivo y te mantendrá protegido del ataque más habitual contra webs.

Además, según el servicio que elijas, podrás tener medidas de seguridad adicionales.

Haz copias de seguridad diarias

Al final, el desastre ocurrirá. Eso va con el territorio, puede haber Zero days exploits o atacantes muy motivados que nos tengan en el punto de mira y acaben hackeando nuestro Wordpress.

En esos casos, poco podemos hacer, excepto una buena respuesta ante el incidente (averiguando qué pasó, cómo y cerrando la puerta de entrada por la que penetraron), para después restaurar una copia de seguridad ya corregida contra el ataque.

Es por eso que, el siguiente consejo contra ciberataques de Wordpress es que hagas copia de seguridad diaria de la web. La mayoría de servicios de alojamiento permiten configurar esto automáticamente desde el panel de control.

Si no lo tienes, volvemos al consejo de buscar un buen proveedor que sí lo tenga, o bien pagar por esta prestación, si es que no la hemos contratado.

Y ya que hablamos de backups diarios de la web, mantén unas cuantas de ellas en el tiempo, como por ejemplo, las copias de las últimas semanas, no sea que restauremos una demasiado reciente, al darnos cuenta de que algo va mal, y ese backup tan cercano en el tiempo tenga ya el malware metido en él.

En serio, no es una cuestión de si nos hackearan el Wordpress o no, sino de cuándo. O si no, será cualquier otro desastre informático habitual en estos casos. Tengamos copias de seguridad frescas que podamos restaurar, que luego vienen los llantos.

Usa un buen plugin de seguridad

Otra opción muy interesante son complementos de Wordpress que protegen de varias maneras nuestra web. Lo que pueden hacer depende del plugin concreto, pero, normalmente, escanean el código para encontrar modificaciones extrañas o malware, protegen de intentos de acceso no deseados, etc.

Protege el acceso al área de administración con VPN

Ojo a los requerimientos.

https://whattheserver.com/securing-wordpress-login/

Utiliza contraseñas fuertes para proteger el área de administración

Es decir, que no pongas 12345 como parece que sigue siendo la contraseña de moda más usada año tras año. La debilidad de las contraseñas es la perdición de la existencia de los trabajadores de ciberseguridad y la fiesta perpetua de los hackers.

Una contraseña fuerte tiene que ser larga, aleatoria, que no signifique nada y no esté en un diccionario, compuesta por letras, números y símbolos extraños.

Es decir:

• 12345 o el nombre de nuestro perro es un terrible contraseña.
• t6ffg@#6742!v:-3w2x4ff5def_ es una contraseña mucho mejor.

Y como eso es imposible de recordar, usa un gestor de contraseñas para guardarla y que te la rellene cuando accedas a tu Wordpress para trabajar con él. Una vez más, recomiendo Keepass, que es una buena opción de código abierto.

Utiliza la autenticación de doble factor

Da igual las veces y los años que vengamos diciendo que es necesario tener una cultura y una costumbre de contraseñas fuertes, aleatorias, guardadas en un gestor de contraseñas. Siguen siendo horribles y vulnerables.

Por eso, lo mejor para proteger Wordpress aún más es activar la autenticación de doble factor.

Esta técnica, ya explicada cuando hablábamos de consejos de ciberseguridad generales, consiste en que, además de poner la contraseña, tendrás que confirmar que eres tú de otra manera adicional (el segundo factor), mediante móvil, llave física o un enlace al email.

¿Cómo lo hacemos?

Una vez más, y como con casi todo en Worpress, la manera es mediante un plugin. En este caso, es recomendable WP 2FA.

Y sí, ya sé que he dicho que cuantos menos plugins, mejor, pero, en este caso, sí merece la pena.

Cambia el nombre del usuario administrador

Todo sea por ponérselo un poco más difícil a los hackers, así que otra estrategia para proteger tu Wordpress es que el usuario administador no tenga los nombres por defecto o que se adivinen fácilmente.

Así que olvídate del usuario admin, administrator, administrador y similares.

Lo ideal, como en el caso de las contraseñas, es que no sea un nombre intuitivo y fácil de adivinar.

Ten en cuenta que los atacantes que quieran acceder necesitan dos piezas de la llave para entrar: el nombre de usuario y la contraseña. Si realizan un llamado “Ataque de fuerza bruta”, solo tienen que averiguar la contraseña, porque has dejado el usuario admin tal cual como identificador del administrador del sitio, les has ahorrado el 50% del trabajo.

Limita los intentos de identificación o login

Es decir, que ponemos un límite a los fallos que aceptamos a la hora de introducir usuario y contraseña en nuestro Wordpress. Si se falla tres veces o así a la hora de poner los datos, bloqueamos completamente la posibilidad de acceso de esa persona.

Si no, pueden hacernos esos ataques de fuerza bruta con diccionario (que facilitaremos además si no hemos cambiado el nombre de usuario de administrador, como decíamos en el consejo de antes).

¿Cómo se hace?

El plugin Limit Login Attempts Reloaded es lo que estás buscando. Instálalo y configúralo. Podrás elegir el número de intentos máximo por IP o cuánto tiempo dura el bloqueo.

Además se lleva bien con otros plugins adicionales de seguridad que ya hemos visto, como Sucuri o Wordfence.

Usa un generador estático en HTML a partir de Wordpress

He aquí una manera muy efectiva de proteger tu web en Wordpress, generando, a partir de ella, lo que se llama un sitio web estático, hecho solamente con html, css y algo de Javascript.

Y ese es el sitio que presentas en Internet, mientras tu Wordpress está seguro, por ejemplo, en un servidor local fuera del alcance de hackers y atacantes, en el que actualizas Wordpress con nuevos posts, temas, etc.

De esta manera, al presentar un sitio estático en HTML, sin base de datos ni código PHP ejecutado en el servidor, eliminas una enorme cantidad de vectores de ataque.

La mayoría de esos ataques se basan en inyecciones en la base de datos, contraseñas de administradores y usuarios vulneradas, errores de código… Generando un sitio estático en HTML, que es estéticamente una copia de tu Wordpress si lo miras desde la perspectiva de tu visitante, no tienes que preocuparte de todo eso.

Y de paso, ahorras en costes de alojamiento y aumentas la velocidad del sitio, al no tener que sobrecargarlo con peticiones constantes a la base de datos o usando páginas PHP cargas de código que tardan una eternidad en ejecutarse en el servidor.

¿Cómo consigues hacer esto?

Hay plugins de Wordpress para ello.

Simply Static es gratis y recomendable. WP2Static es otra opción en este sentido.

¿Qué desventajas tiene?

La lógica de trabajo en este caso es que tú desarrollas en local (o en un servidor no público) y actualizas los posts en ese servidor a salvo de hackers. Cuando has terminado, generas el sitio estático en HTML y CSS a través del plugin, que es lo que subes a tu alojamiento web.

La desventaja es que si dependes de elementos dinámicos, como que los usuarios se identifiquen para escribir posts o que posibles clientes comenten o compren en tu tienda WooCommerce, esta solución no es para ti.

Estéticamente, el sitio estático será casi idéntico, pero todas las funcionalidades dinámicas (como esas compras, por ejemplo), las perderás. Esta solución es para proteger Wordpress que ofrecen información, no enfocados en la interacción con el usuario.

Nunca uses temas y plugins piratas

La tentación de descargar temas profesionales y plugins sin pagar está ahí, pero son puertas abiertas para el malware. Hay multitud de webs que ofrecen dichos temas sin pagar, pero nos vamos a llevar un regalo no deseado, o bien, aunque el código esté limpio, no tendremos actualizaciones y estaremos expuestos en seguridad.

Conclusión, ni tocamos con un palo esos temas y plugins.

Usa una política adecuada de permisos de usuarios

En ciberseguridad, la mayoría de enemigos está en casa y esa misma mayoría no tiene intención de provocar daños, pero una equivocación o tocar donde no se debe puede crearnos un enorme problema de seguridad, borrar cosas importantes, etc.

Para evitar eso, debemos tener una política adecuada de seguridad con los usuarios que haya dados de alta en nuestra web Wordpress.

Desabilita la API de Wordpress y la característica XML-RPC

Que sí, que pueden ser útiles, pero también un punto de entrada a Wordpress. Explotar el XML-RPC es todo un clásico dentro del hacking de webs de este tipo. Es verdad que, con las versiones más recientes de Wordpress, las vulnerabilidades en este sentido ya no han aparecido, pero…

Esta prestación permite acceso remoto y publicar contenido también de manera remota o mediante aplicaciones externas. Si no es este tu caso de uso, desactívalo y otra puerta que cierras.

Lamentablemente, en las versiones actuales de Wordpress, viene activado por defecto y se quitó la posibilidad de desactivarlo. Así que, si no quieres tocar código (y esta web está, en principio, para aquellos que no son programadores), de nuevo la solución es otro plugin. En este caso Disable XML-RPC.

Es la manera más sencilla de hacerlo porque lo instalas y ya está. No hay que configurar nada, simplemente desactiva esta opción.

Y sí, otro plugin (espera, que nos quedan muchos más).

La REST-API de WordPress es buena y útil, pero tiene problemas potenciales de seguridad. Por defecto, deja a la vista los nombres de usuario de cualquiera que haya publicado contenido en la web.

¿Qué produce esto? De nuevo volvemos a uno de los ataques típicos de los hackers, la fuerza bruta. Teniendo esos nombres de usuario, tienen la mitad de la llave.

Desactivar la API, en caso de que no sea necesaria, se hace con otro plugin más, en este caso Disable WP REST API.

Instalas, activas y deshabilita completamente la API a menos que el usuario haya iniciado sesión en WordPress.

• Para los usuarios que han iniciado sesión, la API REST de WP funciona normalmente.
• Para los usuarios desconectados, la API REST de WP está deshabilitada.

Protégete contra comentarios de SPAM

Eso hará que la web no vaya cada vez peor porque la base de datos se satura de ellos, además de que no podrán dejar los típicos enlaces maliciosos o basura, a malware o “maravillosas oportunidades” de timo de todas clases.

Del mismo modo, además de proteger los comentarios, también protegerás los envíos de formulario cuando te contacten, si usas plugins como Contact Form 7 y similares.

Lo ideal es tener un captcha que detecte bots y spam. Es decir, esa prueba de que eres humano antes de poder darle al botón de “Enviar comentario o mensaje”, además de usar plugins que detectan ese spam y lo evitan.

• No me apasionan los plugins de CAPTCHA, pero Really Simple CAPTCHA es el menos malo.
• En cuando a protección antispam, el plugin más famoso es Akismet. Tendrás que contratar algún plan, pero puede merecer la pena si tu sitio depende de los comentarios.

Que las secciones de comentarios nunca han traído nada bueno y mi recomendación es no tenerlas y cerrar otra puerta en la que puedan hurgar los hackers, pero allá cada uno…

Implementa un certificado SSL

Esto se ha vuelto tan común hoy día, que no iba a comentarlo, pero por si acaso.

Es necesario que implementemos ese certificado para que los usuarios intercambien datos de manera segura con nuestra web. Además, no tenerlo también penaliza en buscadores.

Actualmente, todos los proveedores de alojamiento míniamente decentes proporcionan al menos un certificado SSL básico, la mayoría de veces gratis.

Cómo se configura para cada caso depende de dicho proveedor de hosting, pero no debería ser difícil.

Si no lo encontramos en la documentación del alojamiento o el panel de control (muchas veces es hacer clic en la opción adecuada y ya está), debemos contactar con ellos para ver cómo se hace.

Técnicas para proteger Wordpress que no recomiento especialmente

Estas técnicas adicionales que voy a nombrar sirven para aumentar la seguridad, sin duda. Pero, teniendo en cuenta que el objetivo es un público no demasiado técnico, y que la vida real y el trabajo con Wordpress (por parte de usuarios de todo tipo, desde desarrolladores hasta creadores de contenido) es como es en el día a día, estas técnicas pueden tener más potencial de causar problemas y tortura para el administrador de la web que el aumento de seguridad comparado con el resto de técnicas que hemos visto.

No obstante, insisto,

Cambia la página de acceso al área de administración

Todo el mundo (o todo el mundo que te quiere hackear, mejor dicho), sabe que la página de acceso a tu web es /wp-login.php y, por eso, cambiarla aumentaría la seguridad.

Francamente, me parece una de esas técnicas que va a causar más quebraderos de cabeza que otra cosa, pero la explico por encima de la manera más sencilla.

El método manual consiste en descargar el archivo wp-login-php, modificar una línea de su código, renombrarlo con la denominación más segura (y desconocida para hackers), y subir de nuevo el archivo al alojamiento, quitando wl wp-login.php original.

Es decir, una invitación a liarla a menos que tengamos nociones técnicas y sepamos lo que hacemos cambiando líneas de PHP.

La alternativa, cómo no, es instalar otro plugin que haga el proceso más sencillo, pongamos la dirección donde queremos que se ubique el área de administración y él ya modifique el código necesario.

El plugin se llama Change wp-admin login y, como se nos olvide la nueva dirección, tendremos que desactivarlo a mano desde el panel de control del alojamiento, ya sea mediante borrado o base de datos.

Complejo si no se sabe de estas cosas.

Además, me parece un detalle al lado del resto de técnicas, porque es probable que durante la fase de escaneo inicial de un ataque a tu web, un hacker motivado encuentre dicha página de todos modos.

Restringir las direcciones IP que pueden acceder al área de administración

Hay más formas de poner difícil a los hackers el poder asaltar nuestro Wordpress. Por ejemplo, podemos restringir el acceso al área de administración de la web a ciertas direcciones IP autorizadas.

Así, hacemos una “lista blanca” de direcciones IP que pueden acceder y, si no estás ahí, no puedes entrar. Del mismo modo, podemos hacer lo contrario y construir una lista negra de IPs que no puedan acceder bajo ningún concepto.

Esto se puede hacer mediante un plugin, cómo no, o modificando manualmente el archivo .htaccess (el plugin, de hecho, lo que hace es modificar por nosotros ese archivo de una manera más intuitiva que haciéndolo a mano). Sin embargo, no lo voy a explicar y no lo recomiendo especialmente.

No porque no sea un método seguro o efectivo, sino porque las IPs que nos conceden nuestros proveedores de Internet son variables.

Si reinicias el router es fácil que tengas otra IP y la hemos liado. Hay que entrar en el panel de control del alojamiento, cambiar manualmente el archivo desde allí reflejando la nueva IP… Además de que ya he dicho que no voy a entrar en temas más técnicos, y modificar a mano el archivo .htaccess lo es.

De todas maneras, siguiendo unos cuantos consejos y técnicas de los que hemos visto aquí para proteger nuestro Wordpress, ya tendremos una web mucho más segura que la mayoría. Lamentablemente, el estado de muchas páginas es, simplemente, lamentable.