Medidas de seguridad para proteger tu WordPress

WordPress es el sistema de gestión de contenido (CMS) más popular y utilizado del planeta.
No sólo es el favorito para los usuarios, si no es el objetivo principal para los Hackers o piratas informáticos.
Al ser una comunidad tan grande y amplia, hace que sea muy goloso para estos Hackers, y por eso tienen a su ejercito de robots rastreando vulnerabilidades en instalaciones de WordPress de toda la red. ¿Aún tienes dudas sobre la importancia de hablar sobre la seguridad para WordPress?

25%
Webs activas a nivel mundial están desarrolladas con WordPress
10.000
Son los sitios que Google advierte de que son infectados por Malwares cada día.
90%
Sitios hackeados estaban creados en WordPress y solo el 36% utilizaban un CMS actualizado

A continuación mostramos una gráfica con las plataformas más afectadas durante el 2018.

Tabla comparativa con CMS hackeados

Entonces… ¿Wordpress es seguro?

Mi respuesta es . Esto es como quién pregunta si conducir un coche de gran potencia es seguro.
A pesar de la mala reputación respecto a las vulnerabilidades de seguridad que está sufriendo, es mayormente debido a las prácticas erróneas de los usuarios. Estas prácticas son de las que vamos a hablar hoy para tratar a fondo la seguridad para WordPress que necesitas conocer.

¿Por qué debemos proteger nuestro sitio contra hackers?

 

Seguramente habrás navegado por alguna web y te habrá aparecido un mensaje de alerta muy llamativo de Google informando de “Este sitio que vas a acceder contiene software malicioso” o “El sitio web que vas a acceder es engañoso”.
Para Google la navegación segura para el usuario es primordial. Por eso en 2007 lanzó el servicio de diagnóstico “Safe Browsing” para mejorar la protección de los usuarios ante códigos maliciosos o distintas amenazas.
Safe Browsing es un servicio de diagnóstico con una base de datos de sitios peligrosos, orientado proteger al usuario final de amenazas como malware, mediante notificaciones llamativas al acceder al sitio.

¿Cómo puede afectar que mi sitio haya sido hackeado?

El tener un sitio infectado o hackeado le informa a Google de que ya no es un sitio seguro, con lo que advertirá a los usuarios mediante mensajes alarmantes. Esto provocará pérdida de posiciones y un notable descenso del tráfico.
Una encuesta reciente, afirmó que el 45% de los sitios que fueron hackeados notaron un descenso del tráfico de búsqueda. Y un 9% que el tráfico descendió hasta un 75%.

No sólo veremos afectada nuestra web a nivel de visitas, si no a no también hay que considerar el nivel económico, cómo pérdidas en ventas o servicio técnico para desinfección o restauración de copias de seguridad.

En el peor de los casos si somos una tienda online, nos pueden robar datos de clientes, como datos personales o bancarios alojados en nuestros servidor.

Es importante tener contratado un buen servicio de mantenimiento, para que esto no ocurra y estar siempre libre de estos ataques.

Puedes comprobar si tu sitio web ha sido afectado añadiendo el dominio en la siguiente url:
https://transparencyreport.google.com/safe-browsing/search

¿Cómo detectamos que nuestra web ha sido hackeada?

Si Google detecta de que nuestro sitio ha sido afectada la seguridad de nuestro WordPress nos informará, mediante notificaciones vía email o en el Google Search Console, de que nuestro sitio contiene software malicioso.

Alerta Google por fallo Seguridad WordPress

Hay otras formas para detectar si nuestro sitio ha sido hackeado:

> Ataques SERPS (Contaminación en los motores de búsqueda)

Hackeo por falta de seguridad WordPress

Ataque Blackhat que se aprovecha de las vulnerabilidades de tu sitio para insertar contenido como palabras claves o enlaces indeseados en el código de tu sitio para que se muestre en los resultados de búsqueda de Google.

> Cambio de contraseñas de acceso

Puede que la web aparentemente no haya sido afectada, pero no podemos acceder al panel de WordPress. Si estamos seguros que la contraseña es correcta y no podemos entrar al panel, puede que hayamos sufrido un ataque hacker.

Otros motivos para detectar si tu sitio ha sido hackeado es viendo si la web tiene modificaciones inusuales, las imágenes no cargan o la carga es muy lenta.

¿Qué tipo de ataques existen?

Existe gran cantidad de tipos de ataques, pero vamos a nombrar los casos más conocidos.

> Backdoors o Puerta trasera:

Proporciona a los hackers una puerta trasera oculta para acceder al sitio e infectar los archivos de la instalación, Plugins o el Theme. Puedes ser causado por instalación de plugins o temas de sitios no seguros o de no confianza.
Ejemplo: La famosa vulnerabilidad de TimThumbScrip para redimensionar imágenes.

> Ataques por fuerza bruta:

Son los ataques que consiste en acceder masivamente al formulario de acceso del sitio probando entre varias combinaciones.

> Denegación de Servicio(Dos)

Ataques continuos a vulnerabilidades en el sistema provocando la sobrecarga de recursos y pérdida de conectividad del servicio.

Mi sitio ha sido hackeado, ¿y ahora qué?

Lo primero que vamos a hacer es no intentar perder la calma. El estrés y las prisas no son buen acompañantes en estos momentos.

Estos son los pasos para corregir el peor de los resultados cuando la seguridad de tu WordPress ha fallado:

  1. Identifica el problema consultando en la herramienta de Google de diagnóstico, para verificar si tu sitio ha sido infectado.
  2. Cambia todas las contraseñas de acceso al panel de WordPress, FTP y Bases de datos. Comprueba de que no hayan añadido usuarios nuevos.
  3. Descarga en tu equipo  una copia de seguridad anterior al ataque e identifica que archivos han sido modificados recientemente.
  4. Te recomendamos la instalación del plugin Anti-Malware Security and Brute-Force Firewall. Este plugin realiza una revisión completa de tu sitio identificando archivos infectados. Normalmente los archivos modificados contienen funciones como base64, preg_replace o move_upload_file dejando “Backdoors” o puertas traseras para futuros ataques. Que no se te olvide revisar que no hayan sido modificado los archivos wp-config.php, .htaccess o robots.txt, ya que pueden afectar al correcto funcionamiento de tu WordPress.
  5. Restaura todas las carpetas de los Plugins y los actualizas a la última versión.
  6. Haz una copia de seguridad completa(Ficheros y Base de datos) del sitio.
  7.  Elimina advertencias de Google notificando que tu sitio está limpio y no contiene código malicioso. Puedes solicitar una revisión desde el Search console -> Problemas de seguridad.

 

Cómo podemos incrementar la seguridad de nuestro WordPress ante ataques Hackers

  • Contrata un servicio Hosting de calidad:
    Mantén actualizado SIEMPRE la versión de WORDPRESS.
    Cada cierto tiempo aparece una nueva actualización solucionando problemas de seguridad y bugs. Cada vez que se detecta alguna vulnerabilidad del núcleo, en seguida sacan una versión nueva solucionando estos errores.
  • Igual que el núcleo, mantén actualizado siempre los Plugins y el tema. Esto ayuda a solucionar vulnerabilidades o agujeros de seguridad instalados en los Plugins. Ejemplos de Plugins afectados Revolution Slider o Ninja Forms.
  • Instala Plugins de confianza y que tengan un mantenimiento continuo mediante actualizaciones periódicas.
  • Borra los temas y plugins que no utilices.
  • Cambia el prefijo de las tablas de las Base de datos. El plugin Change Table Prefixe permite modificar los prefijos después de haber realizado la instalación. En las instalaciones de Worpdress nos viene por defecto el prefijo de las tablas de las bases de datos “wp_”. Utilizando estos prefijos les estamos dando facilidades a los hackers.
  • Elimina el usuario Admin. Es el primer objetivo de los piratas informáticos.
  • Utiliza contraseñas complejas. De nada nos sirve tener nuestra página blindada en seguridad si las contraseñas no cumplen un mínimo de seguridad. Recomendamos utilizar más de 8 caracteres y que contengan números y símbolos, ya que de lo contrario mediante sistemas de fuerza bruta, es muy fácil acceder.
  • Cambia la url de la página de login (wp-admin)
  • Utiliza un CDN (Red de distribución de contenidos). Mejorará el tiempo de carga y añade seguridad extra a tu sitio. Puedes encontrar más información en el POST que publicamos de WPO.
  • Actualiza tu servidor a la última versión de php.
  • Utiliza https para conexiones cifradas.
  • Protege tu sitio con un plugin de seguridad para WordPress como All In one WP Security, iThemes Security, Sucuri Security o Jetpack. La mayoría de estos plugins de seguridad vienen con las funcionalidades de escáner de malware, firewall o bloqueo de fuerza bruta.
  • Proteger de forma segura el archivo wp-config.php es otra forma de reforzar la seguridad de WordPress. Dicho archivo contiene información confidencial muy valiosa, que estando al alcance de las manos equivocadas, pueden destrozar tu sitio.  Puedes proteger el archivo añadiendo el siguiente código en el .htaccess.


# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

 

Otra opción, es mover el archivo wp-config.php fuera de la carpeta principal.
Por lo general, en las instalaciones de WordPress, dicho archivo se coloca en la carpeta del núcleo, junto a otros archivos como ‘wp-settings.php’ o ‘wp-login.php’. WordPress también nos permite una opción más segura que es colocar el archivo fuera de su carpeta original.
En la siguiente imagen podemos ver los daños sufridos por el ataque de dicho archivo.
Error de conexión con base de datos - Seguridad WordPress

En definitiva ¿Estamos seguros 100% ante los Hackers?

Si nos descargamos la última versión actualizada de WordPress, tenemos una mínima posibilidad de 0,00001% de que haya un pequeño problema no corregido de seguridad, y sea vulnerable en millones WordPress de todo el mundo.

Es imposible 100% mantener nuestro sitio libre de hackers. Lo que sí podemos es ponérselo más complicado ante las vulnerabilidades con un mantenimiento correcto.

Consejos para mejorar tu privacidad y seguridad online

Así como hace unos meses hablamos sobre cómo aumentar la seguridad de una web WordPress, hoy vamos a tratar un tema más general, la seguridad y la privacidad en nuestro día a día. Es evidente que estamos viviendo el momento histórico en el que más información se genera. Por supuesto este hecho también se da en la esfera personal.

Las apps para todo han venido con un sinfín de información de la mano:

  • datos de navegación,
  • geoposicionamiento,
  • mensajería,
  • voz,
  • imágenes
  • y un largo etcétera nos acompañan en nuestro día a día con el consiguiente auge de la conciencia sobre nuestra privacidad.

¿Están nuestros datos seguros? ¿Dónde van a parar esos datos que generamos? ¿Y los que generamos de manera inconsciente con el uso de cualquier aplicación?

Ya no nos limitamos a los datos que introducimos en una aplicación como Facebook al escribir una publicación sobre nuestras últimas vacaciones, también los datos que generan las aplicaciones en base a nuestro uso.

Al sumergirnos de lleno en la era digital necesitamos tomar en serio todo lo que la rodea, esto incluye los posibles problemas que la acompañan. Igual que no dejamos entrar a cualquiera en casa debemos adecuar nuestros comportamientos digitales y no dejar a cualquiera acceder a nuestros datos, a continuación vamos a tratar una serie de consejos que nos evitarán estos nuevos problemas que acompañan a las nuevas tecnologías.

Di no a las aplicaciones de dudosa reputación

Todos hemos descargado alguna vez esa aplicación de fotos de gatitos pero ¿realmente necesita esa aplicación los permisos que nos especifica antes de instalarla? Comprobar la información disponible sobre la aplicación antes de meterla en nuestro hogar digital puede ahorrarnos un disgusto.

apps

Si al comprobar la información encontramos que la propia tienda de aplicaciones (Google Play o App Store son las principales) recomienda la aplicación a través de sus editores o ha sido destacada tendremos ya un indicio de fiabilidad. Si por el contrario vemos que los permisos que requiere la aplicación nos parecen excesivos, las opiniones no son buenas o el autor no nos parece fiable, podemos empezar a sospechar. Por ejemplo, esa aplicación de fotos de gatitos no debería necesitar acceso a leer y enviar SMS, podemos estar ante un fraude y que la aplicación nos suscriba a servicios premium de manera opaca.

Si te conectas a cualquier red hazlo con protección, no te conectes o protégete siempre

Hay varios puntos críticos durante el uso de cualquier dispositivo o servicio digital pero hay uno que es prácticamente constante: la comunicación de datos. Poco a poco parece que la sociedad está tomando conciencia y se está extendido el uso de conexiones seguras a través de https en las webs.

¿Pero qué hay del resto de información que sale y entra de nuestro dispositivo? ¿Viaja a través de canales seguros?

Una opción para mejorar la seguridad en nuestras comunicaciones es utilizar una VPN que nos permita dirigir todo nuestro tráfico a través de un canal cifrado. Muchos de estos servicios anonimizan la conexión ya que, el equipo de destino, no recibe la información directamente desde nuestro dispositivo sino a través de un intermediario y evita que terceros puedan espiar nuestras comunicaciones. Históricamente se han usado para sobrevenir la censura en determinados países o para acceder a contenidos no disponibles en nuestras zonas geográficas.

Por ejemplo, hasta no hace mucho tiempo, Netflix tenía una cantidad importante de usuarios que estaban accediendo a través de VPN que les permitían simular que estaban accediendo desde EEUU y poder disponer del catálogo de la región.

Activa siempre que sea posible la 2FA o autenticación en 2 pasos

Con el aumento en la cantidad y calidad de datos que generamos las entidades maliciosas están más interesadas que nunca en hacerse con toda esa información y explotarla desde la ilegalidad. Todas las semanas llegan a nuestros oídos noticias de webs que han sido hackeadas y de las que se ha sustraído información de los credenciales o cuentas de correo de los usuarios.

¿Qué sucede si alguien se hace con los credenciales de nuestra cuenta de un servicio? Si no hemos tomado ninguna medida adicional esa persona podrá suplantarnos, obtener información sensible o comprar cualquier tipo de producto o servicio si la plataforma lo permite con el consiguiente perjuicio que nos generaría.

Si activamos la autenticación en 2 pasos, cuando una persona intente acceder al servicio con nuestros credenciales, se encontrará con una prueba adicional. Puede ser que nos envíen un correo electrónico con un enlace a nuestra cuenta de correo asociada, un SMS que llega a nuestro número de teléfono con un código que debemos introducir en la web o un código que nos aparezca como notificación push en nuestro dispositivo a través de la app correspondiente.

Llegados aquí no podrían continuar ya que no disponen de esa segunda prueba para demostrar que son los propietarios legítimos de la cuenta en el momento de acceder. Evidentemente, si han comprometido un servicio y la alternativa donde recibimos ese segundo credencial, estaremos de nuevo en la situación inicial pero si únicamente se han hecho con nuestros credenciales del servicio nos habremos librado de que alguien pueda acceder a nuestros datos.

Cifra tu dispositivo

Si lo que te preocupa es el acceso físico al dispositivo puedes cifrar sus contenidos de manera que, si alguien puede manipular tu dispositivo pero no dispone del código de desbloqueo, no podrá leer la información desde su almacenamiento directamente. Se trata de una opción disponible en los sistemas operativos desde hace mucho tiempo y que hoy en día los principales SO del mercado incluyen entre sus opciones.

Sentido común

Como siempre recomendamos, el sentido común es el mejor consejero, si algo parece sospechoso revísalo 2 veces antes de exponerte. Porque una vez expuesta tu información dejas de tener control sobre ella.

¿Tienes alguna incidencia?

Cuéntanos qué ocurre
y nos pondremos con ello lo antes posible.

Este sitio está protegido por reCAPTCHA, y la Política de privacidad y Términos de servicio de Google.
Sucríbete a
nuestra newsletter

para estar al día en el mundo online

¡Cuéntanos tus ideas!
+34 96 653 19 14
+info@acceseo.com
He leído y acepto la política de privacidad

Este sitio está protegido por reCAPTCHA, y la Política de privacidad y Términos de servicio de Google.