La seguridad en WordPress es un aspecto primordial en las páginas desarrolladas con este gestor de contenidos. Un 23.4% de las páginas web en 2015 ha sido desarrollado en WordPress, el CMS (gestor de contenidos) más utilizado a nivel mundial. Dentro de los CMS, el uso de WordPress llega hasta el 60.7%, dejando muy atrás a sus competidores, como Joomla, Drupal o Blogger.
Esta gran cantidad de páginas constituye un gran campo de acción para los hackers. Nada menos que 76 millones de páginas donde poder desarrollar sus conocimientos de hacking o, en el peor de los casos, obtener beneficios comerciales.
¿Por qué hackean mi página?
En primer lugar, no te tomes los ataques como algo personal. En la mayor parte de los casos, no van contra una persona o empresa, simplemente buscan páginas en WordPress porque, para ellos, son más fáciles de atacar y porque existen múltiples herramientas que les facilitan este ataque.
En muchas ocasiones, los hackers solo buscan obtener relevancia y demostrar a los demás sus conocimientos. En otros casos, podemos encontrarnos con «objetivos» mucho peores, con los que obtendrán beneficios económicos a cambio de que tú recibas graves penalizaciones que, en situaciones extremas, pueden llevar al bloqueo de tu dominio y, por consiguiente, de tu web.
Estos ataques más «profesionales» buscan objetivos como:
- Phising para robar datos personales.
- Crear servidores zombie de envíos de spam.
- Insertar links con publicidad que revierten en el beneficio del hacker o red de hackers.
- Obtener información de tus clientes (si, por ejemplo, tienes un e-commerce).
- Instalación de malware o virus desde nuestro sitio web a nuestros visitantes.
En ocasiones, estos ataques tratan de hacerse de manera transparente para nosotros. Cuando visitamos la web, todo funciona correctamente, pero nuestro servidor estará ejecutando los scripts y funciones que estos hackers han introducido en nuestros sistemas sin que nos demos cuenta. Para entonces, las consecuencias pueden ser ya muy graves, como aparecer en listado de spam o, directamente, en listas negras que bloquearán las visitas a nuestra web desde cualquier antivirus o navegador. Os aseguramos que salir de estas listas es un trabajo muy duro, lento y cuya ejecución tarda mucho en llevarse a cabo.
¿Cómo mejorar la seguridad en WordPress?
Hay maneras de dificultar el ataque de estos hackers. No os aseguramos que con ello vayáis a evitar los ataques, porque eso no es posible, pero al menos podremos defendernos de la mayor parte de ellos y, sobre todo, sabremos si hemos sido atacados para tomar las medidas necesarias
1. Copias de seguridad obligatorias.
No sabemos cuándo vamos a sufrir un ataque, ni tampoco si vamos a conseguir bloquearlo adecuadamente, por ello tenemos que asegurarnos de tener siempre una copia de seguridad de nuestra web. En caso de sucumbir al ataque, solo tendremos que borrar todo y restaurar nuestra copia para garantizar que no ha quedado ningún script dañino en nuestro servidor y que éste no estará trabajando a nuestras espaldas.
Existen multitud de plugins de copia de seguridad para instalar en nuestro WordPress, con los que podremos programar la cadencia de las copias de seguridad e, incluso, el envío de las copias a nuestras nubes (Dropbox, Google Drive, Amazon, etc.).
Uno de los mejores plugins para esto es UpdraftPlus que, en su versión gratuita, nos ofrece suficientes prestaciones para tener nuestras copias de seguridad al día.
También es importante que conozcas las políticas de copia de seguridad de tu hosting. Es recomendable elegir un hosting en el que te ofrezcan copias de seguridad automatizadas realizadas en sus propios servidores.
2. Actualiza siempre a la última versión de WordPress y de los plugins que tengas instalados.
La mejor manera de defendernos de los ataques es la prevención. Y para eso necesitaremos estar atentos a nuestra web y actualizar a la última versión que nos ofrecen de WordPress y de los plugins que tenemos instalados. Cuando entremos el backend (parte administrativa) de nuestra web, veremos avisos que nos informan de las actualizaciones, tanto del sistema WordPress como de sus temas o plugins. Los desarrolladores de WordPress, y de los plugins (en este caso, menos a menudo), hacen un duro trabajo para bloquear los últimos ataques y resolver las vulnerabilidades de sus programas, sacando versiones nuevas con funcionalidades mejoradas para evitar esas debilidades en el código que pueden proporcionar acceso a los atacantes. Muy importante… ¡¡¡ACTUALIZA!!!
En este punto, y antes de actualizar, siempre recomendamos hacer una copia de seguridad, como decíamos en el punto 1.
3. Nunca crear un usuario «admin» y, si está creado, eliminarlo.
La mayor parte de personas, al crear su primer usuario con privilegios de administrador en WordPress, utilizan como nombre «Admin». No lo hagáis. Y, si ya lo habéis hecho, cread otro usuario con privilegios de administrador y eliminad inmediatamente el usuario «Admin».
Los ataques al usuario admin son los más habituales, ya que hay muchas posibilidades de que éste sea el usuario con más privilegios del WordPress y solo quedará averiguar la clave mediante ataques con diccionario y las contraseñas más habituales.
También es importante usar un alias. Éste tiene que ser diferente del nombre de usuario con el que entras al backend de WordPress. Si consiguen averiguar tu nombre, mediante la búsqueda por «author» de los posts, al no ser igual que el nombre de usuario no podrán acceder a tu WordPress.
4. Usar contraseñas complicadas.
Uno de los errores más habituales a la hora de crear una contraseña es el de usar palabras, fechas de nacimiento, de boda, etc. Habitualmente, los hackers buscan primero nuestro nombre de usuario, poniendo en el navegador algo parecido a esto:
http://tudominio.com/?author=1
Si no tienes creado un alias (como dijimos en el paso 3) y tu nombre de «author» es el mismo que el de la entrada WordPress ya tendrán una parte del camino recorrida.
Una vez conseguido el nombre de usuario, lo siguiente es usar las contraseñas más habituales, como:
- 123456
- password
- abc123
- 11111
- etc.
Posteriormente, y si el hacker te conoce o se ha informado sobre ti en redes sociales (se dan bastantes casos), usará tu fecha de nacimiento, boda, etc.
El siguiente paso es el ataque con diccionario, usando palabras hasta encontrar nuestra clave.
Por ello, aunque sabemos que a veces es muy tedioso recordarlas, debemos usar claves compuestas de letras (mayúsculas y minúsculas combinadas), números y caracteres especiales. Esto imposibilitará este tipo de ataque, puesto que el número de combinaciones es casi infinito.
5. Utiliza un plugin de seguridad.
Existen numerosos plugins de seguridad para WordPress. Gracias a ellos podremos conseguir un mayor nivel de seguridad. Además, estos plugins nos mantendrán informados, en todo momento, cuando sucedan los siguientes eventos:
- Acceso al backend de WordPress.
- Bloqueos de IP por intentos fallidos repetidos.
- Modificación de archivos, eliminación y añadido de nuevos archivos.
Estos plugins suelen incluir una gran cantidad de opciones y es muy importante no modificarlas sin saber lo que estamos haciendo, pues podríamos llegar a bloquear nuestra propia web. En algunos casos, las configuraciones por defecto pueden ser una buena base de mejora de la seguridad, pero una buena configuración personalizada siempre conseguirá ponérselo más duro a nuestros atacantes.
Algunos de los mejores y más extendidos son los siguientes:
Todos ellos nos ofrecen una mejora básica de la seguridad de nuestro WordPress y tienen versiones de pago con funciones más avanzadas para evitar o repeler los ataques de los hackers. Eso sí, no recomendamos el uso de más de un plugin de seguridad al mismo tiempo, ya que el resultado puede ser un comportamiento realmente extraño de nuestra web y miles de mails de aviso en nuestro correo por identificar ataques falsos.