Cómo securizar un Wordpress
HomeBlogDesarrolloCómo securizar un WordPress (Parte 1 de 3)
Blog

Cómo securizar un WordPress (Parte 1 de 3)

A todos los Wordpress los atacan continuamente, que no lo veamos no significa que no pase. Vamos a ver como nos atacan y como securizar nuestro Wordpress.

Wiliam
Por Wiliam
09 Nov 2015
4 minutos

Cómo hacer seguro nuestro wordpress

A todos los WordPress los atacan continuamente, que no lo veamos no significa que no pase. Este tema será tratado en tres post en los que  desarrollaremos cómo hacer seguro nuestro WordPress. Paso a paso os proporcionaremos las claves para conseguir sobrevivir después de un ataque a tu web.

Vamos a ver cómo nos atacan y cómo securizar nuestro WordPress. Lo primero que vamos a hacer para securizar nuestro WordPress es identificar los métodos de ataque. En esta primera parte vamos a ver el mas común y fácil de solucionar. Se trata del ataque de diccionario o fuerza bruta.

Identificar el tipo de ataque

Lo primero que vamos a hacer para securizar nuestro WordPress es identificar los métodos de ataque. En esta primera parte vamos a ver el mas común y fácil de solucionar.

Ataque de diccionario (o fuerza bruta)

El ataque consiste en identificar a los usuarios del WordPress y acto seguido intentar loguearse con estos nombres probando diccionarios de contraseñas. En el caso de no conseguir extraer los nombres de usuarios, por defecto se probará con el usuario admin.

Para extraer la lista de usuarios, es tan fácil como añadir ?author=1 a la url de nuestro WordPress. Si funciona, iremos incrementando el ID para encontrar mas usuarios.

author-request
author-result

Como resultado nos redirigirá a la página del autor y veremos el login en la url. Ya podemos ir al login del WordPress y comenzar a probar contraseñas hasta que consigamos un acceso.

author-login

Solución

La solución para protegernos de este tipo de ataque consistirá en instalar el plugin Better WP Security.

Este plugin hará principalmente lo siguiente entre otras cosas:

  • Bloquear a los robots que buscan fallos de seguridad y por lo tanto que acaban llamando muchas veces a páginas 404.
  • Bloquear a todos los robots maliciosos conocidos mediante su UserAgent siempre que esté disponible.
  • Detectar los ataques por fuerza bruta y bloquear al atacante si prueba demasiadas veces una contraseña.
  • Cambiar la url del panel, de forma que wp-admin y wp-login.php mostrarán error 404.
  • Bloquear el acceso a directorios internos de WordPress.

Configuración de Better WP Security

Os recomendamos que cada vez que expongáis un WordPress a Internet, instaléis este plugin y apliquéis la siguiente configuración genérica:

Primero permitiremos que el plugin modifique el wp-config.php y el .htaccess para dejarle añadir la protección.

seguridad-wordpress-01

Detección de errores 404

Muchos robots se dedican a probar continuamente fallos de seguridad conocidos en nuestro WordPress, por si alguno funciona, eso origina que si el fallo de seguridad no funciona, acabe en una página 404, de forma que podemos decir que si alguien acaba generando mas de 100 errores 404 en menos de 5 minutos, lo bloquearemos durante un rato. Tras ser bloqueado varias veces, lo bloquearemos indefinidamente.

seguridad-wordpress-02

Bloqueo de robots conocidos

Algunos robots se identifican con firmas que podemos bloquear directamente antes de que hagan nada.

seguridad-wordpress-03

Una vez activemos esta opción, Better WP Security añadirá esto al .htaccess.

better-wp-security-default-blacklist

Bloquear ataques por fuerza bruta

Better WP Security identificará a los atacantes que prueben demasiadas veces a loguearse sin éxito y los bloqueará. Si ademas nos suscribimos introduciendo nuestro email a la red de iThemes Brute Force Protection, compartiremos la lista de atacantes con otros WordPress de la red y viceversa.


seguridad-wordpress-05

Ocultar el panel de control

La opción mas importante sin duda para la protección contra ataques por fuerza bruta consiste en cambiar la url de login de nuestro WordPress, de forma que directamente solo los que conozcan la url podrán loguearse. Os recomiendo que introduzcáis un nombre único y con el que estéis cómodos.

Una vez lo hagamos se notificará a todos los usuarios que tengamos en el WordPress de la nueva url con un correo electrónico.

seguridad-wordpress-06

Otras medidas de seguridad

Para finalizar de configurar el plugin, activaremos otras medidas de seguridad no menos importantes, como evitar que se listen los ficheros de nuestras carpetas, bloquear urls sospechas, no ejecutar PHP en el directorio uploads de WordPress, etc.

seguridad-wordpress-07
seguridad-wordpress-08
seguridad-wordpress-09

En conclusión

Es importante que sigamos estas medidas de seguridad siempre que instalemos un WordPress que esté expuesto a internet.

En los siguientes artículos veremos:

  • Como evitar que se listen los usuarios mediante ?author=1.
  • Como hacer copias de seguridad efectivas y minimizar la perdida de datos para tiendas y blogs.
  • Como ocultar totalmente que estamos usando un WordPress protegiéndonos del 99% de los ataques de robots.

Cualquier duda os la contestaré en los comentarios.

Sigue leyendo sobre Desarrollo
  • React Native: Desarrollo eficiente e innovador de apps móviles
  • Qué es el Quality Assurance y qué papel juega el QA en los negocios digitales
  • Estas son las plantillas y novedades de las actualizaciones de WordPress
  • API RESTful en WordPress
  • La calidad como piedra angular del ciclo de vida del software

    Deja un comentario

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Últimos artículos publicados
    Blog
    4 min
    Del “Efecto 2000” al “Apocalipsis de Cookies” de 2024
    Por Macarena González
    6 febrero, 2024
    E-commerce
    8 min
    El ratio de aceptación de cookies también se puede medir
    Por Sofía Pauls
    23 enero, 2024
    Diseño - UX
    8 min
    ¿Cómo aprovechar las capacidades del eye-tracking para mejorar las experiencias digitales?
    Por Sofía Pauls
    16 enero, 2024
    Diseño - UX
    8 min
    ¿A quién prefieren los españoles, a Papá Noel o a los Reyes Magos?
    Por Sofía Pauls
    19 diciembre, 2023
    SEO
    8 min
    Buyer persona: ¿Qué es y por qué deberías aplicarlo en una estrategia SEO?
    Por Francisco Del Campo
    5 diciembre, 2023
    Conversión - CRO
    5 min
    Cómo definir modelos RFM para segmentar tu base de datos y optimizar tus campañas este Black Friday
    Por Elisa Blasco
    20 noviembre, 2023
    Ir al blog

    Si necesitas especialistas para desarrollar o mejorar tu negocio digital, podemos ayudarte

    • Los datos que nos faciliten el usuario a través este formulario se incorporarán a tratamientos cuyo responsable es FLAT 101 S.L. con CIF B99393613 y domicilio social en Avda. Maria Zambrano, nº 31, Edif. WTCZ, Torre Oeste, 12D, 50018 de Zaragoza. Puede contactar llamando al 976419856 o a través del correo electrónico info@flat101.es. La finalidad de recogida de datos en este formulario es poder contestar las consultas planteadas y enviar al usuario la información solicitada a través del correo electrónico o teléfono indicados en el formulario. Solo se realizan cesiones si existe una obligación legal. Reservados sus derechos a acceder, rectificar y suprimir, así como otros derechos, como se indica en la Política de Privacidad.