La guía de seguridad WordPress definitiva

¿Sospechas que tu web puede estar infectada?
¿No paras de recibir ataques y tu hosting ya te ha mandado un aviso de suspensión de servicio?

Si estás aquí es porque sospechas que han hackeado o atacado tu web y quieres protegerte y darle solución ahora mismo.

¡Ya puedes respirar tranquila/o!

Después de leer la guía de seguridad WordPress hasta el final habrás blindado tu WordPress como un profesional.

Pero antes de ponernos manos a la obra…

¿Qué necesitarás para este proceso?

• Acceso al CPanel de tu hosting.
• Acceso al FTP.
• Acceso con permisos de administrador a tu WordPress. 
  No vale cualquier usuario, debe ser el administrador.

¿Ya lo tienes todo listo? ¡Pues manos a la obra! 💪

Copias de seguridad

¡Importante! Haz una copia de seguridad antes de continuar. Tanto de WordPress, base de datos y de la carpeta raíz de tu hosting.

No empieces a hacer ninguno de estos pasos hasta que no tengas a buen recaudo una copia de seguridad de todo tu trabajo. 
No suele ocurrir nada nunca, pero es mejor no jugársela con algo tan importante como el tiempo, trabajo y dinero que le has invertido a tu página web.

¡Actualiza!

¿Sabías que el 50% de las webs hackeadas no tenían WordPress actualizado?

WordPress nos ofrece mil y una posibilidades y configuraciones gracias a sus plugins y temas, tantos que nos haríamos viejos antes de contarlos todos.
Pero estos plugins y temas, y WordPress incluido, se actualizan constantemente. Y no lo hacen para hacernos la vida imposible y se estén confabulando en nuestra contra, sino por seguridad.

Con cada nueva actualización se arreglan errores de la versión anterior y le hacen la vida un poco más difícil a esos usuarios mal intencionados que visitan nuestras webs.

Así que recuerda: Tener un WordPress sin actualizar es un exponente de riesgo y te hará vulnerable a la infección de virus, malware y ataques de hackers que podrían arruinar todo tu trabajo.

Si ves que estar pendiente de WordPress no está hecho para ti o tienes tanto trabajo que no puedes dedicarle ni 10 minutos recuerda que he creado un servicio especialmente hecho para hacerte la vida más fácil y libre de estrés.
El servicio anual de mantenimiento WordPress ‘Olvídate de WordPress’.

Usuario administrador

Revisa la cuenta de administrador.

¿Tu nombre de usuario es ‘admin’? ¡Cámbialo inmediatamente!

Es como pedir a gritos que te roben tu página web.

Pon nombres que nadie pueda relacionarlos contigo o con tu empresa.

Si tu empresa se llama “Fontanería Barcelona” no uses de nombre de usuario ‘fontaneria’ o ‘fontaneriabcn’, usa nombres estrafalarios y muy poco predecibles como ‘comomolo’, ‘yosoytupadre’ o ‘bienvenidosalatierramedia’.

Piensa un segundo en quién sería capaz de adivinar algo tan absurdo. Ese es el objetivo.

Elimina el usuario de administrador que se creó por defecto y crea una nuevo. De esta forma la ID de este usuario en la base de datos no será 1 y le complicarás un poco más el trabajo a los hackers.

No publiques NADA con la cuenta de administrador.Ni entradas del blog, ni páginas. Nada.

¿Por qué es tan peligroso publicar con el usuario administrador y tener la ID 1?

Con una instalación estándar de WordPress, un atacante podría saber rápidamente el nombre de tu cuenta de administrador y su ID, quedando solo por descubrir la contraseña para poder atacarla y acceder a ella.

Si haces una búsqueda rápida en tu web añadiendo “?author=1” al final de tu url podrás ver la gravedad del asunto.

http://tudominio.com/?author=1

Si el usuario administrador tiene la ID por defecto 1 con este pequeño truco adivinar el nombre de usuario para usarlo en el login supone este mínimo esfuerzo.

¿Ves ahora la gravedad del asunto?

Y por último, y no por ellos menos importante, solo puede existir una única cuenta de administrador.
El resto de usuarios deberán tener un rango menor, desde editores hasta autores o suscriptores.

Contraseñas

Hay que usar la misma lógica y estrategia con las contraseñas.

Usa generadores aleatorios de contraseñas de más de 12 caracteres y que contengan letras, números y símbolos especiales. Esto es de vital importancia.

Como por ejemplo:

http://www.clavesegura.org/

No uses nunca la misma contraseña para varios usuario o para el acceso al FTP.

Imagina que usas la misma contraseña para el administrador de WordPress que para el usuario del FTP de la carpeta raiz de tu hosting. No solo podrían entrar en tu panel de control de WordPress, podrían tocar cualquier archivo y modificarlo a su antojo, o copiar todos tus datos. O incluso eliminar hasta el último archivo que tengas.

Usa herramientas online para guardar todas estas contraseñas. Ni yo ni ninguna persona normal sobre la faz de la tierra sería capaz de aprenderse ese tipo de contraseñas de memoria. ¡No uses Post-it ni libretas! Todo se acaba perdiendo, usa la tecnología, que está para ayudarnos.

Algunas herramientas online recomendables:

• https://www.lastpass.com/es
• https://www.dashlane.com/
• https://1password.com/

Protege tu página de login

Limita el intento de logins.
No permitas que el atacante tenga banda ancha para probar combinaciones de usuario y contraseñas infinitas.

En mi caso suelo permitir hasta 3 intentos, porque somos humanos y hasta los programadores nos equivocamos alguna vez.

Una vez fallados los 3 intentos la IP del usuario se bloquea durante 1h o 24h, se puede elegir al gusto.

No muestres errores en el login.

Por defecto WordPress nos muestra los errores en el login. Nos dice si hemos acertado o no con el usuario. Que considerado, ¿verdad?

En el ejemplo de la imagen el atacante sabría que ha acertado con el nombre de usuario admin (por favor, ¡no me lo uséis nunca como nombre de usuario!) y solo le quedaría averiguar vuestra contraseña.

¿Cómo eliminar esta inútil ayuda a nuestros atacantes?

Añadiendo este código en el archivo functions.php:

//eliminar mensaje error login

function no_wordpress_errors(){

 return '¡No puedes pasar! ¡El fuego Oscuro no te servirá aquí';

}

add_filter( 'login_errors', 'no_wordpress_errors' );

Deshabilita poder hacer login con el email.

Igual que has hecho en el anterior caso, añade esto al archivo functions.php:

//no login con email

remove_filter( 'authenticate', 'wp_authenticate_email_password', 20 );

Sencillo 👍

Eliminar archivos por defecto

Todos los que trabajamos con WordPress, aunque sea por hobby, nos sabemos de memoria los archivos que se crean de forma automática con la instalación y con cada actualización de WordPress.

Si no borramos los archivos por defecto que WordPress nos deja será muy sencillo que nos hagan ciertos ataques.

¿Qué archivos debes eliminar después de una instalación WordPress?

• El archivo wp-config-sample.php que se encuentra en la raíz de WordPress
  Recuerda que cada vez que WordPress se actualiza este archivo vuelve a crearse. ¡Bórralo!
  

• readme.html que también se encuentra en la raíz de WordPress
• ¡Elimina el plugin Hello Dolly! Este plugin te lo imponen a la fuerza cada vez que instalas o actualizas WordPress. Pero existe una forma de olvidarte de él para siempre.

Eliminar para siempre el cansino plugin Hello Dolly

//¡Adiós para siempre Hello Dolly!

function eliminar_dolly() {

if (file_exists(WP_PLUGIN_DIR.'/hello.php')) {

require_once(ABSPATH.'wp-admin/includes/plugin.php');

require_once(ABSPATH.'wp-admin/includes/file.php');

delete_plugins(array('hello.php'));

}

}

add_action('admin_init','eliminar_dolly');

¿Por qué es tan importante borrar el archivo ‘readme.html’?

Por un motivo muy sencillo, en este archivo, aparentemente inofensivo,  se revela con total tranquilidad e impunidad la versión de tu WordPress.

Si el atacante viese que la versión está muy por debajo de la actual llegaría a la conclusión de que la web no está actualizada correctamente y que podría estar abandonada, siendo más fácil de atacar.

¿Por qué es tan grave no tener WordPress actualizado?

En cada actualización el equipo de WordPress publica en su web oficial el listado de errores que tenía la versión anterior que han arreglado en la versión actual.

¿Ves la gravedad? El atacante tendría la mitad del trabajo hecho, sabiendo a ciencia cierta dónde debe ir a atacar en las webs con versiones desactualizadas.

¿Cómo saber si tengo ese archivo en mi instalación?

Escribe en el navegador:

http://tudominio.com/readme.html

Si te aparece un error 404 querrá decir que no lo tienes. ¡Bien hecho!

Nunca reveles información de tu WordPress

Tal y como te he comentado en el caso del archivo ‘readme.html’ hay que ofrecer siempre la mínima información.

Podemos conseguir de forma muy sencilla eliminar la información de las versiones de todos nuestros plugin y archivos copiando este código en el archivo functions.php:

//Ocultar versión de WordPress

function fjarrett_remove_wp_version_strings( $src ) {

   global $wp_version;

   parse_str(parse_url($src, PHP_URL_QUERY), $query);

   if ( !empty($query['ver']) && $query['ver'] === $wp_version ) {

       $src = remove_query_arg('ver', $src);

   }

   return $src;

}

add_filter( 'script_loader_src', 'fjarrett_remove_wp_version_strings' );

add_filter( 'style_loader_src', 'fjarrett_remove_wp_version_strings' );

function wpmudev_remove_version() {

   return '';

}

add_filter('the_generator', 'wpmudev_remove_version');

Cuidado con el prefijo de la base de datos

El prefijo de las tablas de la base de datos de una instalación por defecto de WordPress es “wp-“.

Este prefijo es el que viene por defecto en la instalación y cambiarlo nos ayudará a añadir una nueva capa de seguridad para impedir a posibles atacantes usar técnicas de inyección de SQL.

¡No se lo pongas tan fácil a los usuarios mal intencionados!

La importancia del hosting

Contrata un buen servicio de hosting.

No contrates a la empresa de hosting que te ofrezca un precio más bajo, sino la que pueda ofrecerte un buen servicio 24/7 y en el idioma que domines, que cuente con servicio de backups, al menos semanales, y ofrezca el certificado SSL dentro del precio.

Huye de compañías que te quieran cobrar la barbaridad de 100€ anuales por el famoso “candadito verde” 🔒, ya que servicios como https://letsencrypt.org/getting-started/ los ofrece de forma gratuita.

Al final todos, yo me incluyo, hemos acabamos aprendiendo esta lección a la fuerza cuando ya ha sido demasiado tarde.

En mis inicios en este mundo contraté mi primera compañía de hosting basándome en el precio más bajo y perdí todo el contenido de mi web por un error técnico. 
Esta compañía no ofrecía servicio de copias de seguridad y tardaban casi 48h en contestar tickets… Jamás pude recuperar mi trabajo y tuve que volver a empezar de 0.

“Contraté mi primera compañía de hosting basándome en el precio más bajo y perdí todo el contenido de mi web por un error técnico”

Experiencia personal de Anaislab

Así que no cometas el mismo error que cometí yo. Contra un buen hosting.

¿Pero cuál es la mejor compañía de hosting?

Sin lugar a dudas es Siteground. Son especialistas en WordPress y sinceramente se nota.

Voy a ser clara: contrata con SiteGorund.

Cambiar dirección de login

Todos los que conocemos a WordPress sabemos que para acceder a él debemos ir a http://tudominio.com/wp-login.php.
Sería recomendable cambiar esa url por defecto.

Https “candadito verde”

Habilitar el acceso por https, de tal forma que el acceso tanto de usuarios como del administrador no pueda verse capturado o expuesto por un posible atacante en la red

Conclusiones

El secreto de una buena seguridad es que el atacante sepa lo mínimo sobre ti y sobre tu empresa.

Google es gratis y lo sabe usar todo el mundo.

Si alguien quiere entrar en tu página web lo primero que hará será buscar información de la empresa en Google y en tan solo unos minutos conseguirá el nombre del propietario y si me apuras, hasta el de sus empleados.

Gracias a la política legal y de privacidad (página obligatoria en todas las webs) podrá saber a quién pertenece la web y así investigar a estar persona por Google.

Primero empezará usando el propio nombre de la empresa como nombre de usuario, después el nombre del propietario, después el nombre de algún trabajador. Probará con admin, administrador, wp, WordPress, 1234 y un largo etcétera.

Si no tienes deshabilitado el login por email también intentaría atacar por ahí. Es sencillísimo de sacar este dato con 2 o 3 búsquedas de Google.

Si no tienes quitado los mensajes de error de login podrá saber si ha acertado con el usuario y solo le quedará ponerse manos a la obra con la contraseña

¿Qué hará para adivinar tu contraseña?

Primero probar con la combinación de contraseñas más absurdas del mundo y que a día de hoy aún se siguen usando… Si tu empresa se llama “Peluquería Maribel” y te hicieron la web en el año 2017:

• peluqueriamaribel
• peluqueriamaribel2017
• maribel
• maribel2017
• maribelpeluqueria
• maribelpeluqueria2017

Pero la cosa no acaba aquí.
Si estas contraseñas fallan atacará por las contraseñas de toda la vida “1234, admin, etc.”.

Y si ya todo esto no funciona buscará información personal en Facebook y Google sobre el propietario/a de la web.

Por ejemplo, buscando a Maribel (es una persona ficticia y no me he basado en nadie que conozca para este ejemplo) en Google en pocos minutos sabemos sus apellidos, su email y hasta su Facebook y otras redes sociales. 
Una vez dentro de sus redes sociales, descubrir que tiene 2 hijos y un perro y que nació en el 1978, es pan comido.

¿Qué consigue el atacante con esta información?
Múltiples posibles contraseñas:

• El nombre de sus dos hijos sin espacio y en minúsculas
• El nombre de su perro
• Su año de nacimiento
• El nombre de su empresa y su fecha de nacimiento
  Y un largo etc.

¿Ves lo fácil que es adivinar el usuario y contraseña y la cantidad de información regalamos en las redes sociales? 

En la época en la que vivimos es la mar de sencillo conseguir información privada de una persona y ni siquiera necesitas ser programadora/o ni informática/o para hacerlo, solo un ordenador/móvil con internet.

Nunca uses información privada ni de tu empresa para tus nombres de usuario y contraseñas. Este es el pilar fundamental de la seguridad en Internet.

¿A qué estás esperando a hacerte una cuenta en LastPass y cambiar todas tus contraseñas?

He sido víctima de un ataque…

Si crees que has sido víctima de un ataque, has intentando aplicar estos trucos, pero la guía te ha sonado a chino o se escapa de tu nivel de dominio de WordPress puedes ponerte en contacto conmigo y contratar el servicio ‘Olvídate de WordPress’.

Con este servicio no solo podrás decirle adiós al tedioso trabajo de las actualizaciones, también disfrutarás de:

• Un servicio de asesoramiento. Resuelve tus dudas sobre WordPress y temas técnicos
• Un servicio de optimización y mejora de la velocidad. ¡Google no volverá a mirarte con malos ojos!
• Un WordPress blindado a prueba de balas. Podrás respirar tranquilo, haré todas las modificaciones que hagan falta para que tu WordPress sea inexpugnable

¿Por qué no me dejas este trabajo a mi y te libras del trabajo y el estrés que supone el mantenimiento y cuidado de tu web?

Con tu trabajo no te la juegues, protégete.