Aunque muchas veces lo dejemos para el final en nuestra lista de prioridades, la seguridad web es un tema muy importante.
Los ataques a webs como la tuya o la mía son más frecuentes de lo que crees. De hecho, hasta que no te pasa, no eres consciente de ello.
Por eso, para prevenir un susto como ese, hoy he invitado a un experto en seguridad web, Diego Roldan, que nos va a contar paso a paso cómo puedes mejorar la seguridad de tu web.
¿Sabías que más del 30% de todas las webs en el mundo están hechas con WordPress? Si miramos lo que implica dentro del uso de los Gestores de Contenido (CMS), esta cifra ya supera el 60%.
Fuente: W3Techs
Apostaría, sin temor a equivocarme, a que tu web también está creada con esta tecnología.
Pero, no es menos cierto, que al ser el sistema más extendido para crear webs también WordPress es el que más ataques recibe. Y te preguntarás… ¿Cuántos ataques se producen? Te dejo una gráfica muy visual de todos los ataques cibernéticos que se producen para que te hagas una idea:
Estos son los ataques en tiempo real que se están realizando mientras lees este post.
Bots, exploit, cracker, hacker… el nombre es lo de menos. El caso es que tienes que realizar una serie de tareas para asegurarte que tu web está protegida.
Debes saber que no puedes lograr tener un sistema 100% seguro. Además de WordPress tienes diferentes plugins instalados y también son puntos por donde acceder a tu web.
Tabla de contenidos de este post
- 1 Entonces, ¿WordPress es inseguro?
- 2 El punto más vulnerable de tu Web eres tú
- 3 Mantén limpio el equipo informático con el que trabajas
- 4 Seguridad de tu Web
- 5 El Paso a Paso para tener una Web Segura
- 5.1 Créate un sistema de Copias de Seguridad
- 5.2 Usa Contraseñas Seguras
- 5.3 Actualiza WordPress, la Plantilla y todos los Plugins periódicamente
- 5.4 Elimina los Plugins y los temas que no uses
- 5.5 Descarga de repositorios fiables
- 5.6 Instala un Certificado SSL
- 5.7 Revisa tu perfil de Usuario y optimízalo
- 5.8 Instala una Suite de seguridad
- 5.9 Protege el acceso a tu WordPress
- 6 CONCLUSIÓN
Entonces, ¿WordPress es inseguro?
Nada más lejos de la realidad. Existe quien cree que WordPress es un coladero de intrusos por la información que circula por la red, pero no, la realidad es que WordPress es tan seguro como puede serlo cualquier CMS. El problema radica en los usuarios que lo tienen descuidado o, en ocasiones, olvidado.
Si no realizas el mantenimiento de tu web, tarde o temprano aparecerán los problemas.
Bien, hecha esta breve introducción, vamos a ver cómo puedes mejorar la seguridad de tu plataforma digital.
El punto más vulnerable de tu Web eres tú
Sí, como lo estás leyendo, tú eres tu principal enemigo.
¿Por qué te digo esto? Porque eres el eslabón más débil de todo el sistema.
Como humano que eres te afecta la carga de trabajo diaria, la motivación que tengas para realizar diferentes tareas tediosas, tus prioridades… En definitiva, que dejas para otro momento el mantenimiento de tu web, usas contraseñas frágiles o descargas de sitios poco recomendables.¿Me equivoco?
Mantén limpio el equipo informático con el que trabajas
Muchas veces se piensa en que la única amenaza está en tu web y no se presta la debida atención a si el equipo con el que trabajas está limpio o con las medidas de seguridad mínimas.
Por otro lado, debes ser consciente de que aunque tengas tu ordenador protegido, si te conectas a través de redes Wifi gratuitas, también estarás en riesgo.
Por todo, mi recomendación es que:
- Mejor si te conectas a Internet por cable en vez de Wifi, aunque sea la de tu hogar o la de tu negocio.
- No conectarse a través de redes Wifi públicas. ¿De verdad que no puedes disfrutar de tu café sin acceder a Internet?
- Nunca te conectes a la administración de tu WordPress desde ordenadores de hoteles, locutorios, aeropuertos… ya que nadie revisa su seguridad
- Instala un antivirus con firewall que te proteja. Aquí tienes uno gratuito.
Seguridad de tu Web
Déjame ver que tal vas de imaginación…
Piensa en una silla con cuatro patas… ¿la tienes?
Hemos visto los dos primeros puntos donde se apoya la seguridad de tu negocio digital: tú y el ordenador con el que trabajas.
Ahora nos metemos con los otros dos: el Hosting donde tienes instalada tu Web y la seguridad dentro de la administración de WordPress.
Un pilar fundamental para la seguridad de tu web es el hosting donde la tengas instalada.
No escatimes en este punto, si tienes una web profesional debes tener un alojamiento profesional.
Por si te preguntabas cuáles son esos hosting recomendados, apunta estos proveedores: Raiola Networks, Axarnet, Webempresa o Siteground
Un hosting de calidad, como los que te acabo de mencionar, implementa medidas adicionales para salvaguardar la información de sus clientes y configura los servidores para minimizar los daños que puedan ocasionar los ataques.
El cuarto punto de apoyo que comentábamos anteriormente trata de las tareas que puedes realizar dentro de la instalación de WordPress.
Llegados a este punto y como la finalidad del artículo es que consigas tener una web más segura, te dejo con una serie de acciones prácticas para que las lleves a cabo y blindes tu web contra intrusos.
El Paso a Paso para tener una Web Segura
Te voy a mostrar diferentes acciones como mantenimiento preventivo. No son todas obligatorias y de ti depende decidir qué medidas adoptas.
Vamos al lío…
Créate un sistema de Copias de Seguridad
Yo tengo una máxima: “trabajar con red de seguridad”
Hablamos de tecnología y por tanto siempre existe un porcentaje de riesgo de perder información. Y nadie quiere perder el trabajo de días o semanas, ¿cierto?
El mejor consejo que te vas a llevar de este artículo es que siempre tengas el antídoto por si algo sale mal.
¿Ya tienes creado tu sistema de copias?
No me refiero a las que el hosting haga periódicamente, sino a las copias que debes hacer tú y guardarlas fuera del servidor. Bien en la nube, en tu propio ordenador o en ambos.
Tener copia de tus archivos es tan fácil como instalar un plugin, así que no tienes excusas. Te cuento lo que yo hago para mantener un respaldo de mis archivos:
- Accede a la administración de WordPress y dirígete a Plugins
- Haz clic en Añadir nuevo
- Teclea UpdraftPlus dentro de la caja de búsqueda
- Clic en el botón »Instalar ahora. Cuando termine el proceso el botón cambiará a Activar. Presiona de nuevo y el proceso habrá terminado
Ahora puedes acceder al plugin desde la barra del menú superior o desde Ajustes»Respaldos UpdraftPlus. Te lo muestro.
La primera vez que instales UpdraftPlus te saltará un asistente para que lo configures, pero básicamente esta es la configuración que debes hacer:
- Accede a la pestaña Ajustes
- Indica cada cuanto tiempo quieres realizar una copia de tus archivos
- Selecciona cuantos respaldos quieres guardar en el alojamiento que elijas
- Debes repetir los dos pasos anteriores, esta vez para la base de datos
- Posteriormente tienes la opción de elegir dónde quieres que se guarden los archivos (Dropbox, Google Drive, Amazon S3, servidor FTP…)
- Recuerda guardar la configuración
Siguiendo estos pasos que te acabo de indicar ya tienes tu sistema en marcha. ¿Fácil no?
Antes de seguir con los siguientes pasos, asegúrate de tener al menos una copia hecha y si no es así ejecuta la acción manualmente desde el botón Respaldar ahora.
Con esta medida, si algo sale mal podrás volver a un punto anterior y recuperar toda la información.
Usa Contraseñas Seguras
Uno de los fallos principales que comenten los usuarios es emplear contraseñas débiles.
Esta es una medida básica que debes llevar a rajatabla tanto con las credenciales de acceso a la administración, como con los usuarios que comparten tu WordPress.
Puede que te sorprendas si te digo que las contraseñas más utilizadas son: “123456”, “password” o “111111”. Si no me crees aquí te dejo el ranking de 2018.
Recuerda crear contraseñas difíciles de adivinar:
- Combina mayúsculas, minúsculas, números y caracteres especiales (& % $ ! )
- No apuntes tus contraseñas en cualquier lugar. Existen herramientas como LastPass que te facilitan la tarea
- No des tu contraseña a nadie. Si necesitas que alguien acceda a tu instalación, crea un usuario nuevo para ese propósito
- Utiliza contraseñas distintas para lugares diferentes
WordPress ya te ofrece un sistema para generar contraseñas seguras automáticamente por lo que deberías utilizar esta capa de protección extra para no lamentarte más tarde.
Usuarios » Contraseña
Actualiza WordPress, la Plantilla y todos los Plugins periódicamente
Buen número de las infecciones se cuelan por no tener tu sistema actualizado. No siempre que hay actualizaciones son para dotar de nuevas características, en muchas ocasiones solucionan vulnerabilidades o arreglan agujeros de seguridad.
¿Cómo conviene que hagas las actualizaciones? Te pongo el orden:
- Primero actualiza los plugins, uno a uno
- Luego actualiza tu Theme
- Y finalmente actualiza WordPress
Presta atención a la versión antes de actualizar
Pasar de la versión 4.9.8 a la 4.9.9 de WordPress no entraña ningún problema, aun así lo recomendable es esperar unos días.
Sin embargo, pasar de a 4.9.9 a la versión 5 conlleva un cambio de versión y normalmente en pocas horas ya aparecen nuevas actualizaciones. No seas el primero en actualizar.
Elimina los Plugins y los temas que no uses
Es habitual probar diferentes temas para ver cómo queda tu web pero una vez elegido el que satisface tus necesidades debes eliminar el resto. Una puerta menos por donde colarse los intrusos.
Del mismo modo, cuando necesitas una nueva funcionalidad para tu web, instalas diferentes plugins para ver si es lo que andabas buscando. Recuerda eliminar los que no utilices para mantener limpia tu lista de plugins.
Además de mejorar la seguridad, eliminando los plugins y plantillas que no uses también estarás mejorando el rendimientode tu web.
Descarga de repositorios fiables
Esto es válido tanto para Themes como para Plugins o incluso WordPress.
Realiza las descargas desde sitios web de confianza o desde el propio desarrollador.
Sé que es muy goloso bajarse esa plantilla que es el último grito y además gratis, pero piensa en que pueden estar colándote contenido malicioso.
Valora pagar las licencias si realmente necesitas esa plantilla o plugin.
Y piensa en el costo que supondría tener que contratar un servicio externo de desinfección de tu web. ¿Lo ves ahora más claro?
Instala un Certificado SSL
La red está repleta de webs que todavía no disponen de certificado de seguridad. Espero que tu web no sea una de ellas.
¿Qué no sabes qué es esto?
Es una capa extra de seguridad que ya deberían tener todos los sitios web.
En la URL de tu dominio debería verse el protocolo HTTPS y mostrar un candado verde:
De esta manera la información viaja encriptada para que nadie pueda descifrarla.
¿Cómo te haces con tu certificado?
Todos los hosting de calidad disponen de un instalador para el certificado gratuito Let’s Encrypt. Localízalo dentro del panel de control de tu hosting e instálalo para empezar a disfrutarlo.
Las webs que no poseen certificado SSL ya no son listadas en los resultados de búsqueda de Google.
¿Necesitas más motivos?
Revisa tu perfil de Usuario y optimízalo
Algo indispensable es que compruebes si tu perfil de usuario dentro de WordPress está optimizado.
Muchas instalaciones tienen como usuario administrador de la web “admin”. Normalmente sucede cuando utilizas el instalador de WordPress que te facilita tu hosting.
Esto es conocido por los hackers y lo primero que prueban, únicamente les faltaría descubrir la contraseña y se colarían dentro.
También es recomendable que utilices un alias diferente al Nombre de usuario.
Cuando respondes a un comentario, se muestra tu alias y si se corresponde con el usuario de acceso a la administración de tu web estarás ofreciendo la mitad de los credenciales de acceso a quien sepa entender.
Accede a Usuarios» Tu perfil y comprueba las siguientes opciones:
- Nombre de usuario» Debe ser diferente de “admin”
- Pon un Alias distinto del Nombre de usuario
- Utiliza la opción Mostrar este nombre públicamente pero no elijas lo mismo que tengas en el campo Nombre de usuario
Instala una Suite de seguridad
Se trata de plugins que añaden diferentes funcionalidades y con los que puedes librarte de otros plugins que tengas instalados.
Existen muchos pero los dos que más recomiendo son:
- Wordfence Security que es muy sencillo de configurar
- iThemes Security con opciones más avanzadas, pero debes saber lo que estás tocando para no cargarte la web
Cualquiera de los dos te ayudará con la seguridad de tu WordPress: bloqueará los intentos de login repetitivos, realizará análisis de tus archivos en busca de código malicioso, instalará un firewall para luchar contra ataques… vamos, ¡una navaja suiza!
Protege el acceso a tu WordPress
El acceso estándar al back-end de cualquier instalación de WordPress consiste en añadir /wp-admin/ al URL de tu dominio. Es decir:
https://midominio.com/wp-admin/
Algo que es bien sabido y utilizado por quienes intentan acceder a tu web.
Si has instalando una Suite de Seguridad como Wordfence o iThemes ya estarás protegido contra intentos de login no autorizados, pero si no es así te dejo el que yo instalo:
Ve a Plugins»Añadir nuevo. Busca e instala LimitLoginAttemptsReloaded
Actívalo y deja que actúe por sí solo. Si necesitas cambiar alguna configuración puedes localizarlo bajo Ajustes»LimitLoginAttempts
Existe una opción extra que consiste en ocultar directamente la página de acceso a la administración, para lo cual puedes instalar el plugin WPS HideLogin.
Este plugin se encargará de modificar el acceso /wp-admin/ por el nombre que elijas evitando que los intrusos puedan intentar acceder dado que no conocen por donde hacerlo.
CONCLUSIÓN
Existen más opciones que podrías implementar, tanto a nivel de plugins como a nivel del servidor, pero tampoco debes obsesionarte.
Utiliza el sentido común junto con las recomendaciones que acabas de leer y tendrás una plataforma digital mejor protegida que el 99% del resto de webs.
Ya te he comentado en el artículo que pensaras en la seguridad de tu web como en una silla de cuatro patas, en la que ninguna debe flaquear para que la seguridad de tu web sea estable.
Recuerda, si una de las cuatro patas se tambalea (el equipo desde donde te conectas, el hosting donde alojas los archivos, la configuración de tu WordPress o el más importante: Tú) también lo hará toda la seguridad de tu negocio.
Aplica las recomendaciones y duerme con la tranquilidad de saber que tus contenidos están protegidos.
¿Ya tomabas estas u otras medidas de seguridad? ¿Has tenido alguna experiencia desagradable? Te espero en los comentarios…
Diego Roldan dice
Enormemente agradecido de poder compartir este artículo de seguridad de nuestras web con la comunidad de Marketing Libélula.
Es todo un lujo y os animo a que si tenéis preguntas las hagáis porque estaré por aquí respondiendo vuestras dudas.
Abrazos