Como volver más segura tu instalación de WordPress con un par de ajustes y un plugin: iThemes Security

¿Cómo asegurar tu instalación de WordPress?

¿Cómo asegurar tu instalación de WordPress?

¿Que tienen en común las plataformas más usadas en Internet? Pues básicamente que son las más atacadas por parte de los oscuros personajes y piratas que existen en la red, así como bots que intentan aprovechar cada uno de los agujeros de la plataforma en cuestión o fallos de seguridad de sus usuarios. No es ajena a este tipo de problemas una de nuestras plataformas favoritas: WordPress. Por eso con unos ajustes sencillos y básicos, junto a uno de los plugins de seguridad más interesantes (iThemes Security), vamos a dejar nuestra web perfecta para que esté protegida ante ataques o malas intenciones.

 

¿Como asegurar tu web realizada en WordPress con unos consejos y un plugin como iThemes Security?

Aunque de por sí es un gestor de contenidos seguro y con actualizaciones constantes, siempre hay algún pequeño error ya sea del núcleo de WordPress como de un plugin instalado, que puede provocar una brecha de seguridad y dar al traste con nuestra preciosa y querida página web. Es por ello que hay que hacer lo posible para proteger nuestra instalación de WordPress, aparte de lo que de por sí haga nuestro hosting (no escatiméis en este punto, el hosting es una de las patas más importantes de vuestra web. Podéis ver el artículo donde os explico como contratar e instalar WordPress en quizá uno de los mejores hostings con los que he trabajado).

Es muy fácil protegerse contra la mayoría de ataques externos y proteger nuestra instalación de WordPress ante casi el 99.9% de problemas. Lo vamos a conseguir con unos ajustes en nuestra instalación, unas buenas prácticas y un plugin más que interesante, a la par que gratuito: iThemes Security (antes conocido como Better WP Security).

Lo más habitual en cuanto a problemas suele venir por temas de seguridad a nivel usuarios de la web (password sencillo, ordenadores desde donde se accede al panel de control que están infectados con malware o keyloggers, etc…), distinguimos 2 tipos de problemas que pueden surgir en nuestra instalación de WordPress:

Infecciones por malware o código malicioso.

Este caso es habitual cuando nos encontramos con plugins de procedencia dudosa, desactualizados o que tienen fallos de seguridad conocidos sin corregir. Una plantilla o un plugin con errores puede ser un agujero por el que se pueda colar un atacante o incluso, podría llevar ya en su código fuente un proceso de ataque a tu web o a otras webs externas, así como mandar spam a través de tu propia web. 

Ataques externos

Este tipo de ataques proceden desde otros servidores, de cualquier parte del mundo, que habitualmente pretenden tumbar nuestra web o aprovechar sus recursos de servidor para atacar otras web externas (haciendo de puente). Estos ataques suelen coincidir con un consumo excesivo de recursos por culpa del ataque. Estos ataques de fuerza bruta o de denegación de servicio (DDOS) hacen que nuestra web se vuelva inestable o que directamente acabe desconectada por saturación del servidor. En este punto una protección extra por parte de nuestro hosting tampoco viene mal.

Sencillos pasos para mejorar la seguridad de tu web en WordPress

Prevenir mejor que curar, tips sencillos pero importantes:

Tener seguro nuestro WordPress al 99% puede ser muy sencillo si aplicamos estos sencillos puntos a nivel prácticamente usuario o usuario administrador sin conocimientos muy técnicos. La mayoría de veces nos los saltamos por su simplicidad , pero ayudan a que nuestra web ya sea un punto más complicada de atacar.

La primera de las reglas básicas es quizá la más sencilla de todas para que tu wordpress sea más seguro, estable y esté protegido un poco más:

Los plugins y plantillas han de estar SIEMPRE actualizados al día. ¿Más sencillo que esto no hay nada, no? Bueno, pues ocurre que nos encontramos con webs basadas en WordPress con instalaciones antiguas de plugins desfasados, plantillas sin actualizar o el núcleo de WordPress con más telarañas que en un cementerio abandonado. Esto provoca que agujeros de seguridad o fallos en el código que sean públicos sean aprovechados por los “malos” para atacar nuestra web, olvidándonos de tener en cuenta que es peligroso tener sin vigilar este apartado de las actualizaciones, siendo sencillo de resolver por nuestra parte.

Manten las actualizaciones de WordPress al día

Manten las actualizaciones de WordPress al día

¿Es lógico que actualicemos nuestro WordPress, no? Pues como hemos comentado, id corriendo al apartado de actualizaciones y ponedlo al día inmediatamente.

Después de este sencillo punto, vamos con el segundo de los puntos importantes. Nos hará dedicarle un poco de nuestro tiempo y nos ayudará mucho a securizar nuestra web: una contraseña segura para nuestros usuarios (sobre todo, administradores). ¿Como podemos elegir una contraseña segura? Pues tenemos dos maneras de “inventarla”:

1.- Basada en caracteres especiales, números, letras y símbolos en un orden sin sentido (por ejemplo, AAbb$$..¡?¿). El problema de este tipo de contraseñas es que son muy complicadas de recordar, pero por eso también más difíciles de adivinar cuando más complejas son.

2.- Justo al contrario, usar palabras conocidas pero en un orden también sin sentido. Aunque parezca mentira se vuelve muy complicado detectar este tipo de passwords cuando tenemos algún Keylogger o malware en nuestro PC o Mac. Por ejemplo, podemos usar el password: FutbolCamelloLonganizaBalonVerduraFavoritaArbolElefante. Parece sencillo pero aumenta exponencialmente su dificultad de crackearla, tanto por longitud como por combianción de palabras. Si tienes problemas de memoria, quizá es una de la smejores opciones.

Tercer punto: Orígenes seguros para nuestros plugins y plantillas. Siempre descargarlos de sitios seguros: marketplaces, desde el repositorio de wordpress o desde desarrolladores confiables. Nada de cogerlos por cualquier web e insertarlos en tu página como si fueran conocidos de toda la vida… Esto aplica también a las plantillas “gratuitas” que se encuentran por ahí, que son pirateadas/descargadas de sitios de pago, y que pueden contener código modificado para aprovechar e infectar tu web.

Cuarto punto e importante: Un hosting que sea capaz de frenar ataques externos con reglas de seguridad y auditoría constante del tráfico. Como hemos comentado antes, yo recomiendo Loading.es para esto, aunque si tenéis un hosting de confianza distinto también podéis acudir a él. Por su dedicación y configuración de seguridad, es capaz de bloquear ataques y mantener tranquilo tu servidor, para que tu web funcione sin problemas. Además, en caso de algún tipo de problema su servicio de At. al cliente está 24 horas para ayudarte ¡(y en español!). Dignos de probar y de darles una oportunidad; yo por ejemplo, no me cambio.

Y por último, en quinto lugar pero no por eso menos importante, tened el ordenador o dispositivo desde el que accedáis a vuestra web limpio, sin virus, sin malware ni nada parecido. Parece una tontería pero es una de las principales causas de infección de páginas web. Así que un buen antivirus, un sistema operativo al día y un ojo abierto ante el malware que puede entrar, hace mucho. ¡Y este ordenador siempre debe de estar revisado y al día!

Y como colofón, utilizar uno de los plugins más completos: iThemes security

Este plugin nos va a permitir asegurar nuestra web en pocos minutos. Ojo, no es el único de los plugins de seguridad que existen, pero si uno de los mejores y completos en su versión gratuita.

Como configurar IThemes Security

Plugin iThemes Security

Como instalar y configurar iThemes Security

Descargar este plugin e instalarlo es lo más fácil del mundo, siguiendo el estilo del resto de plugins de WordPress que se pueden conseguir en el repositorio. Dentro de nuestro panel de WordPress vamos a Plugins-> Añadir Nuevo y buscamos por su nombre el plugin en cuestión. Al aparecer en el listado, le damos a Instalar y posteriormente a Activar.

A partir de este momento entramos en el panel de ajustes del plugin en el apartado del menú de nuestro backoffice de WordPress: Seguridad -> Ajustes, para empezar a configurar nuestras opciones para hacer nuestra web más fuerte y dejarla más protegida.

De primeras, el plugin nos da la opción de configurar y asegurar nuestra web con solo un click con la opción “One-click Configure” para que de esta manera tan sencilla nuestra web ya sea mucho más segura que antes. Antes, nos ha recomendado hacer un backup y darle permiso para modificar unos archivos importantes de nuestro WordPress. Es más que recomendable seguir estos puntos para tener más tranquilidad.

En esta sección podréis configurar con un clic toda una serie de opciones disponibles (Hay otras que no están habilitadas, ya que son de la versión PRO, interesante si vuestro negocio depende mucho de la web y os sale rentable).

Panel de configuración de iThemes Security

Panel de configuración de iThemes Security

Las más recomendables, después de la opción One-click Configure que por defecto asegura muy bien vuestro WordPress, son las siguientes:

  • Comprobación de Seguridad (Nos configura y revisa automáticamente varias opciones por si acaso).
  • Ajustes Globales.
  • Modo de Reposo (Especial para cuando vamos a dejar de actualizar nuestra web durante tiempos definidos).
  • Aviso/rastreo de archivos modificados.
  • Protección contra fuerza bruta (ataques contínuos para adivinar nuestras claves).
  • Usuarios baneados (Perfecto para spammers o crackers que intentan entrar con un usuario y adivinar su password).
  • Refuerzo de contraseñas (Obliga a que sean más seguras).

No son las únicas, pero quizá sí son las más fáciles de implementar y destacadas que ayudarán a tu web a que sea un coto cerrado ante ataques y vulnerabilidades. En cuanto lo tengáis instalado, echadle un vistazo a estas opciones y veréis que tienen su lógica, parecen obviedades pero nunca las tenemos en cuenta.

Después de esta serie de recomendaciones, recordad que la seguridad en WordPress y en vuestra web no sólo es cuestión de entrar, configurar y listo, sino que es un proceso que se debe monitorizar, revisar y ahondar en conocimiento de la web, para que se puedan poner las cosa difíciles a los “malos” y vuestra web siga activa el 100% del tiempo 🙂

Por cierto, aquí os dejo el enlace de la página oficial con toda la información de la configuración del plugin, por si queréis ahondar más en ella -> Configuración iThemes Security

No estaría mal revisar su página y manuales, para conocer a fondo la herramienta y como os puede ayudar.

Conclusiones

Ya habéis visto lo sencillo que es asegurar vuestra web con un par de ajustes y un plugin fácil de instalar y configurar. No dejéis de lado la seguridad en vuestras webs porque puede que llegue el día en que os arrepintáis por culpa de un usuario mal configurado, un plugin viejuno o un tema con más infecciones que un Windows XP sin antivirus. Id corriendo a configurar vuestra instalación de la mejor manera y más segura con estos sencillos tips que acabamos de revisar y tendréis tranquilidad en un 99%.

Obviamente hay que asegurarnos que en nuestro hosting se hará el trabajo necesario para bloquear ataques o que tenemos un backup actualizado cada X horas, que nos permita restaurar la web en cualquier momento (¡Esto nos ahorrará disgustos!)

Un último recordatorio: iThemes no es el único plugin que permite asegurar vuestro WordPress, ya que hay varios más que tienen calidad, funciones y rendimiento para que una web realizada en WP no sufra ataques o al menos, minimice su impacto.

Entre otros plugins para tener más seguridad en un WordPress están: BulletProof, Wordfence, Loginizer, Limit Login Attempts y muchos más, cada cual con sus funcionalidades y utilidades que nos vendrán de perlas para bloquear ataques y malos bichos.  Unos bloquean tras un número de intentos a los usuarios que fallan en su login, otros funcionan como firewall, también hay alguno con versión de pago y gratuita y que valdría la pena sopesar… etc

Echadles un vistazo para así conocerlos y poder tener más tranquilidad en vuestro blog o web.

Y después de todo este rollo de casi 2000 palabras… ¿Habéis asegurado ya vuestra web? ¿A qué esperáis?

 

Leave a Reply

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.