Aunque en este blog normalmente te hablo sobre temas relacionados con el desarrollo de WordPress me parece que es muy importante adoptar unas medidas mínimas de seguridad para que en las webs que administres no se pierda o desluzca tu trabajo por esta expuesto a riesgos innecesarios. Así que he hecho esta excepción para contarte que plugin utilizo habitualmente para aumentar la seguridad de mis sitios WordPress.
Las medidas de seguridad, a la hora de desarrollar un plugin, ya os las pongo de serie en cualquier artículo que escribo. Pero recuerda que una cadena siempre se parte por el eslabón más débil, así que te recomiendo vigilar todos los frentes.
iThemes Security es mi plugin favorito de seguridad en WordPress. Fácil de configurar para un usuario medio te protege de una gran cantidad de amenazas incluso en su versión gratuita. Por ello recomiendo instalarlo, activarlo y configurarlo en todos tus sitios WordPress. A no ser que ya uses otro claro.
Una vez instalado y activado, accede al panel de configuración y allí encontrarás un cuadro de diálogo que te recomienda activar una serie de módulos básicos para asegurar tu sitio. Pulsa sobre Secure Site para activar estas medidas de seguridad básicas.
Una vez hecho esto verás una serie de fichas básicas, algunas activadas otras no, que configuran distintos aspectos de seguridad. Cada una de estas fichas es un pequeño plugin en sí mismo y de vez en cuando añaden alguna ficha nueva.
Además de la seguridad que obtienes “de serie” al ejecutar la opción Secure Site que te acabo de comentar, hay otras medidas interesantes que puedes activar:
- Detección 404: si un usuario o un bot intenta buscar rendijas de seguridad en tu web irá accediendo de forma insistente a páginas al azar. Cuando estas no existen tu web genera un error 404. Si activas este filtro en iThemes el plugin rechazará nuevas conexiones desde cualquier dirección IP que haga más de 20 intentos de conexión a páginas inexistentes.
- Modo de reposo: los ataques más peligrosos a tu red pueden producirse mientras duermes. Seguro que hay un periodo del día en el que casi nunca vas a acceder a tu escritorio de WordPress. Durante esas horas puedes prevenir ataques deshabilitando el acceso a la zona de administración. Con este módulo puedes configurar ese bloqueo horario a tu gusto. Si un día concreto sabes que vas a necesitar acceder a una hora bloqueada basta que lo deshabilites de manera temporal cuando todavía estás en periodo de acceso autorizado.
- Detección de cambios de archivos: este es un poco latoso por la cantidad de falsos positivos que genera y que llegarán a tu correo. Pero te lo recomiendo si quieres enterarte cuando se realicen cambios de archivos en tu instalación. Hay que saber discernir cuándo estos cambios son autorizados, debidos a actualizaciones, o son obra de algún usuario malicioso que se nos haya colado.
- Permisos de archivos : este es un poco más avanzado porque hay que tocar los permisos en el servidor o hosting. Comprueba la configuración actual de permisos de las carpetas y archivos más sensibles de WordPress y te señala cuales están correcta o incorrectamente configurados con una sugerencia sobre la estructura ideal de permisos. No es muy complicado, te puede evitar algún susto pero tienes que saber modificar permisos en el servidor.
- SSL : si tienes un certificado SSL para que tus visitantes accedan de manera segura (algo muy recomendable por cierto), es importante que nadie entre por http pues estaría menos protegidos. Con este módulo fuerzas que cualquier intento de acceder por http se redirija a https.
- Requisitos de contraseñas: cualquier usuario con cuenta en tu sitio debería utilizar una contraseña segura (recuerda lo del eslabón más débil). Con la configuración por defecto de iThemes el requisito de contraseña segura se establece sólo para los administradores, pero te recomiendo que lo apliques al perfil más bajo que aparezca en tu lista, en mi caso Suscriptor , para que afecte a todos los perfiles de usuario.
Algún efectos colateral:
- Bloqueo de REST API: Este es uno de los bloqueos que iThemes Security activa por defecto cuando aseguras tu sitio con las opciones por defecto. En algunos casos es recomendable dejarlo así porque la REST API puede dar acceso público a información de tu sitio que piensas que es privada. El problema es que algunos plugins y servicios necesitan que esté activada. Así que si la activas y ves que no te perjudica en nada, déjala así y si ves que te quita algo “imprescindible” para ti puedes desbloquearla accediendo desde la ficha Ajustes de WordPress y en REST API escoges la opción Acceso por defecto. En uno de mis blogs esta opción hacía que el panel que me mostraba los resultados de Google Analytics en el escritorio me dejara de funcionar. Pero cómo puedo consultar estos datos desde otras herramientas he preferido dejar la API REST bloqueada de momento.
- Avisos de bloqueo e intentos de acceso: de vez en cuando recibirás un correo de que cierta IP se ha bloqueado o que un usuario ha intentado entrar como “admin”. Esto es normal, son cosas que pasaban en tu sitio pero no lo sabías, ahora serás un poco más consciente y tendrás cuidado de no tener una cuenta que se llame “admin”, de usar buenas contraseñas y de estar un poco más pendiente de la seguridad de tu sitio pero sin volverte paranoico tampoco.
Recuerda que los sitios web reciben ataques casi a diario, aunque no seamos conscientes de ello y toma estas precauciones de seguridad nos puede ahorrar muchos dolores de cabeza con muy poco esfuerzo.
Si tienes alguna duda sobre este artículo, alguna aportación para mejorarlo o simplemente sientes un deseo refrenable de compartirlo con otros. No lo dudes, déjame un comentario o comparte un enlace en tu red social favorita. Recuerda que el karma exista y que las buenas acciones se nos devuelven multiplicadas
Top comments (0)