Cómo securizar un Wordpress (Parte 1 de 3)

Cómo hacer seguro nuestro wordpress

A todos los WordPress los atacan continuamente, que no lo veamos no significa que no pase. Este tema será tratado en tres post en los que  desarrollaremos cómo hacer seguro nuestro WordPress. Paso a paso os proporcionaremos las claves para conseguir sobrevivir después de un ataque a tu web.

Vamos a ver cómo nos atacan y cómo securizar nuestro WordPress. Lo primero que vamos a hacer para securizar nuestro WordPress es identificar los métodos de ataque. En esta primera parte vamos a ver el mas común y fácil de solucionar. Se trata del ataque de diccionario o fuerza bruta.

Identificar el tipo de ataque

Lo primero que vamos a hacer para securizar nuestro WordPress es identificar los métodos de ataque. En esta primera parte vamos a ver el mas común y fácil de solucionar.

Ataque de diccionario (o fuerza bruta)

El ataque consiste en identificar a los usuarios del WordPress y acto seguido intentar loguearse con estos nombres probando diccionarios de contraseñas. En el caso de no conseguir extraer los nombres de usuarios, por defecto se probará con el usuario admin.

Para extraer la lista de usuarios, es tan fácil como añadir ?author=1 a la url de nuestro WordPress. Si funciona, iremos incrementando el ID para encontrar mas usuarios.

author-request
author-result

Como resultado nos redirigirá a la página del autor y veremos el login en la url. Ya podemos ir al login del WordPress y comenzar a probar contraseñas hasta que consigamos un acceso.

author-login

Solución

La solución para protegernos de este tipo de ataque consistirá en instalar el plugin Better WP Security.


Este plugin hará principalmente lo siguiente entre otras cosas:

  • Bloquear a los robots que buscan fallos de seguridad y por lo tanto que acaban llamando muchas veces a páginas 404.
  • Bloquear a todos los robots maliciosos conocidos mediante su UserAgent siempre que esté disponible.
  • Detectar los ataques por fuerza bruta y bloquear al atacante si prueba demasiadas veces una contraseña.
  • Cambiar la url del panel, de forma que wp-admin y wp-login.php mostrarán error 404.
  • Bloquear el acceso a directorios internos de WordPress.

Configuración de Better WP Security

Os recomendamos que cada vez que expongáis un WordPress a Internet, instaléis este plugin y apliquéis la siguiente configuración genérica:

Primero permitiremos que el plugin modifique el wp-config.php y el .htaccess para dejarle añadir la protección.

seguridad-wordpress-01


Detección de errores 404

Muchos robots se dedican a probar continuamente fallos de seguridad conocidos en nuestro WordPress, por si alguno funciona, eso origina que si el fallo de seguridad no funciona, acabe en una página 404, de forma que podemos decir que si alguien acaba generando mas de 100 errores 404 en menos de 5 minutos, lo bloquearemos durante un rato. Tras ser bloqueado varias veces, lo bloquearemos indefinidamente.

seguridad-wordpress-02


Bloqueo de robots conocidos

Algunos robots se identifican con firmas que podemos bloquear directamente antes de que hagan nada.

seguridad-wordpress-03

Una vez activemos esta opción, Better WP Security añadirá esto al .htaccess.

better-wp-security-default-blacklist


Bloquear ataques por fuerza bruta

Better WP Security identificará a los atacantes que prueben demasiadas veces a loguearse sin éxito y los bloqueará. Si ademas nos suscribimos introduciendo nuestro email a la red de iThemes Brute Force Protection, compartiremos la lista de atacantes con otros WordPress de la red y viceversa.


seguridad-wordpress-05


Ocultar el panel de control

La opción mas importante sin duda para la protección contra ataques por fuerza bruta consiste en cambiar la url de login de nuestro WordPress, de forma que directamente solo los que conozcan la url podrán loguearse. Os recomiendo que introduzcáis un nombre único y con el que estéis cómodos.

Una vez lo hagamos se notificará a todos los usuarios que tengamos en el WordPress de la nueva url con un correo electrónico.

seguridad-wordpress-06


Otras medidas de seguridad

Para finalizar de configurar el plugin, activaremos otras medidas de seguridad no menos importantes, como evitar que se listen los ficheros de nuestras carpetas, bloquear urls sospechas, no ejecutar PHP en el directorio uploads de WordPress, etc.

seguridad-wordpress-07
seguridad-wordpress-08
seguridad-wordpress-09


En conclusión

Es importante que sigamos estas medidas de seguridad siempre que instalemos un WordPress que esté expuesto a internet.

En los siguientes artículos veremos:

  • Como evitar que se listen los usuarios mediante ?author=1.
  • Como hacer copias de seguridad efectivas y minimizar la perdida de datos para tiendas y blogs.
  • Como ocultar totalmente que estamos usando un WordPress protegiéndonos del 99% de los ataques de robots.

Cualquier duda os la contestaré en los comentarios.


Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Si necesitas especialistas para desarrollar o mejorar tu negocio digital, podemos ayudarte