Asegurar su instalación de WordPress
Trabajar con sistemas de administración de contenido populares puede ser una excelente manera de administrar, modificar y mantener su sitio web. Pero una gran popularidad conlleva una gran responsabilidad de proteger su instalación de WordPress de los piratas informáticos que pretenden explotar sistemas populares como WordPress. Averigüemos cómo podemos asegurar nuestro servidor y protegernos de los atacantes.
¿Por qué necesito proteger WordPress?
La popularidad de WordPress lo convierte en un objetivo para los piratas informáticos. Con millones de usuarios en todo el mundo, los atacantes sacan el máximo provecho de su inversión explotando herramientas tan ampliamente utilizadas. Un solo exploit podría permitir que un pirata informático comprometiera cientos o miles de sitios web, lo que podría significar que su sitio web es uno de los muchos afectados.
Las formas principales en que WordPress es pirateado o comprometido son las contraseñas fáciles de adivinar y el compromiso de temas, complementos y una instalación de WordPress obsoleta. Mantener contraseñas y nombres de usuario seguros, temas, complementos e instalaciones principales actualizados con los parches más recientes puede contribuir en gran medida a proteger su servidor de los atacantes.
Echemos un vistazo a cómo podemos actualizar estos elementos y asegurarnos de que nuestra instalación de WordPress esté actualizada.
Creación de un nombre de usuario y una contraseña seguros
Si bien no puede cambiar el nombre de usuario establecido durante la instalación de WordPress, podemos crear un usuario administrativo alternativo que no tenga un nombre de usuario fácil de adivinar, como usuario o administrador, que puede no haber sido considerado durante la instalación. Entonces podemos crear una contraseña segura para la cuenta de administrador original, para que no sea adivinada.
Los nombres de usuario fáciles de adivinar permiten a los atacantes adivinar la combinación común de nombres de usuario y contraseña para obtener acceso a su instalación de WordPress. Al tener un nombre de usuario oscuro y único, incluso si su contraseña es algo simple como contraseña, los atacantes aún tendrán que adivinar su complicado nombre de usuario para obtener acceso.
Con un nombre de usuario como “mywebsite123987@#$@!”, a los piratas informáticos les resultará difícil comprometer su servidor de esta manera.
Para crear un nuevo usuario, abra su Tablero y navegue hasta Usuarios.
Seleccione Agregar nuevo en la barra de navegación superior para crear un nuevo usuario.
Asegúrese de proporcionar un nombre de usuario y una contraseña únicos y difíciles de adivinar, con más de 12 caracteres, incluidas letras, números y símbolos.
Asigne a este usuario la función Administrador y, a continuación, seleccione Añadir nuevo usuario.
Ahora, podemos volver a la página Usuarios y seleccionar nuestra cuenta de administrador original llamada usuario.
Generar una nueva contraseña para nuestro usuario original que será imposible de adivinar. Ahora que tenemos nuestra cuenta de administrador alternativa, nuestra cuenta original llamada usuario puede tener una contraseña muy larga y complicada, por lo que los atacantes no la forzarán por ser un nombre de usuario tan común.
Cambiar la URL de inicio de sesión de WP-Admin
Otra excelente manera de proteger sus páginas de inicio de sesión es cambiar la URL de inicio de sesión predeterminada de wp-admin a algo único. De esta forma, los atacantes no pueden intentar iniciar sesión automáticamente en su sitio web a través de la URL predeterminada example.com/wp-admin/ y tendrán que adivinar su página de inicio de sesión (nombrada de forma segura) para atacar su sitio web.
Si bien esta no es una característica compatible de WordPress, podemos lograrlo de dos maneras. Usando un complemento o modificando manualmente los archivos para realizar nuestros cambios.
Para este artículo, modificaremos manualmente nuestros archivos y haremos todo lo posible para evitar complementos innecesarios.
Es importante tener en cuenta que estas modificaciones no se trasladarán a las actualizaciones de WordPress y podrían causar algunos problemas en el futuro. Para garantizar actualizaciones sin problemas, se recomienda mantener una copia de seguridad de todos los archivos modificados y restaurarlos antes de actualizar. Luego, simplemente puede hacer los mismos cambios nuevamente para restaurar su URL de inicio de sesión segura de WordPress.
Para comenzar, querrá un buen editor de texto como Notepad ++ que tenga una función sólida de buscar y reemplazar. Una vez que tengamos esto, busquemos nuestro archivo wp-login.php en nuestro directorio raíz de WordPress.
Lo primero es lo primero, haga una copia de seguridad de este archivo en caso de que necesitemos volver a la URL de inicio de sesión original en algún momento. Una vez hecho esto, abra wp-login.php en Notepad++ para que podamos emitir el módulo de buscar y reemplazar que necesitamos para asegurar nuestra página de inicio de sesión.
Para acceder al módulo de buscar y reemplazar, vaya a Buscar en el menú superior y busque Reemplazar.
Una vez que el módulo esté abierto, en el campo Buscar: ingrese wp-login y en Reemplazar con: ingrese la URL de inicio de sesión deseada. En este caso, he elegido custom_login para que sea nuestra página de inicio de sesión recién designada.
Seleccione Reemplazar todo para reemplazar todas las apariciones de wp-login.
Guarde su archivo y navegue de regreso al directorio de inicio de WordPress. Es hora de cambiar el nombre de nuestro archivo wp-login.php a custom_login.php.
Ahora, para probar que nuestro cambio funcionó, acceda al directorio wp-admin en su sitio web. En mi caso, se encuentra en http://localhost/wordpress/wp-admin/. Al cargar esta URL, debería encontrar que da un error o una advertencia de Página no encontrada. ¡Esto significa que nuestra URL de inicio de sesión ha cambiado y los piratas informáticos no pueden encontrarla usando una URL de inicio de sesión predeterminada!
Abramos la página de inicio de sesión correcta ahora, en mi caso ubicada en http://localhost/wordpress/custom_login.php.
¡Felicidades! Ha cambiado su URL de inicio de sesión predeterminada a una URL única más segura que será más difícil de adivinar para los piratas informáticos. Esto evitará que su página de inicio de sesión sea forzada por programas que busquen específicamente la URL wp-login.php. ¡Un paso más cerca de la seguridad!
Mantenga actualizados los complementos, los temas y el núcleo de WordPress
La forma más efectiva de proteger su instalación de WordPress es mantener actualizados los temas, los complementos y la instalación principal de WordPress.
Los complementos y los temas a menudo son el objetivo de los piratas informáticos, ya que tienden a ser desarrollados por desarrolladores externos con recursos algo limitados, a diferencia de la organización de WordPress, cuya prioridad será la seguridad y la prueba de errores de los complementos y temas oficiales.
Los temas y los complementos se crean sin embargo, el desarrollador decidió escribirlos, y a menudo no se prueban exhaustivamente contra las vulnerabilidades. Esto puede causar problemas a los usuarios una vez que un atacante encuentra un error en los archivos de temas que pueden no haberse actualizado para todos los usuarios. Esto también puede suceder años después.
Los complementos funcionan de la misma manera, pero los usuarios de WordPress pueden utilizarlos más ampliamente, lo que los convierte en un objetivo ideal para los piratas informáticos. Ha habido muchos casos en los que se explotan complementos instalados por millones de usuarios, y todos los sitios web con el complemento afectado pueden verse comprometidos si no se actualizan.
Para administrar las actualizaciones de WordPress, vaya al Panel de control y busque Inicio.
Esta página lo ayudará a administrar las actualizaciones principales, las actualizaciones de temas e incluso las actualizaciones de complementos en un lugar central. Se le notificará de cualquier extensión desactualizada y se le dará la opción de actualizarla aquí. Solo necesitará acceso FTP que tenga derechos de modificación sobre el tema, el complemento o la instalación de WordPress.
Si bien WordPress a menudo proporciona advertencias en la página principal del Panel de control para archivos obsoletos, consulte esta página de Actualizaciones de WordPress con frecuencia y asegúrese de que sus archivos estén actualizados. La aplicación de parches a los archivos obsoletos es una de las formas más efectivas de evitar que los atacantes tomen el control de forma simple.
Minimizar el uso de complementos y temas instalados
Sin duda, puede ser un desafío mantener los temas y complementos actualizados con los últimos parches, especialmente si está utilizando docenas o más de temas y extensiones. Una de las formas más fáciles de minimizar este riesgo es limitar la cantidad de complementos y temas que está utilizando.
Esto brinda exponencialmente menos vectores de ataque para los piratas informáticos por cada complemento o tema que no está instalado y puede tener posibles vulnerabilidades. Además, la desinstalación de complementos y temas desactivados evitará que incluso las herramientas no utilizadas sean explotadas en el futuro por errores graves.
Una vez que haya decidido no usar un complemento, continúe y elimínelo por completo de su sitio web. Incluso se ha descubierto que los complementos desactivados antiguos tienen errores graves que fueron comprometidos por piratas informáticos a gran escala.
Si bien parece haber un complemento para todo, incluso para algunas de las cosas que hicimos hoy, minimizar el uso de complementos e instalaciones de temas ciertamente ayudará a proteger su sitio web de errores fácilmente explotables que los piratas informáticos pueden encontrar incluso años después. Si es posible, tenga instalado solo el tema predeterminado y el que está utilizando, y la menor cantidad posible de complementos para que su sitio funcione.
Recuerde, cuantos más usuarios tengan un complemento o tema instalado, más jugoso será el objetivo para que los piratas informáticos encuentren un exploit.
Copias de seguridad para remediación y tranquilidad
Un paso final para proteger el compromiso irrevocable es mantener copias de seguridad seguras. Si hay un anuncio de un error encontrado en un complemento o WordPress, es posible que pueda volver a una instalación más segura o simplemente eliminar los archivos afectados del sitio web en vivo.
Si el exploit es lo suficientemente grave, es posible que desee tener una instalación nueva de WordPress y simplemente importar sus publicaciones a la instalación nueva y segura.
Si bien hay un millón de formas de hacer una copia de seguridad de sus datos, le mostraremos la forma más básica de hacer una copia de seguridad de los archivos de WordPress utilizando la herramienta de exportación integrada.
Esta herramienta se encuentra en Herramientas > Exportar en el panel de control de WordPress.
Desde aquí, puede exportar manualmente publicaciones, páginas, archivos multimedia o todo el contenido.
Esto no hará una copia de seguridad de su tema o complementos de ninguna manera, ni hará una copia de seguridad de los archivos modificados como nuestra página custom_login.php. Sin embargo, en caso de desastre, tendrá copias de seguridad seguras de todas sus publicaciones y páginas para importarlas fácilmente a una nueva instalación.
Los métodos alternativos para hacer una copia de seguridad de sus archivos incluyen exportar la base de datos SQL en su totalidad. Pero una vez comprometidos, es difícil saber exactamente qué archivos y datos corren el riesgo de una puerta trasera a largo plazo. Si su instalación de WordPress se ha visto comprometida, es mejor comenzar de nuevo con una instalación nueva con la menor cantidad posible de archivos sobrantes.
Seguridad: un trabajo interminable
Si bien esta guía solo toca la superficie de la seguridad, estos son algunos de los métodos más efectivos para evitar un compromiso total de WordPress. Estos son los vectores de ataque más utilizados por los piratas informáticos y asegurar estos sistemas protegerá su sitio de los ataques más comunes y automatizados que se ejecutan contra las instalaciones de WordPress en todo el mundo.
Un nombre de usuario y una contraseña seguros que no se adivinen fácilmente, una página de inicio de sesión personalizada y complementos, temas e instalaciones centrales actualizados contribuirán en gran medida a proteger su servidor. Combine eso con copias de seguridad sólidas y minimice las herramientas de terceros, y los piratas informáticos tendrán muchos menos vectores para explotar contra su instalación de WordPress.
¡La combinación de prácticas sólidas de WordPress con prácticas sólidas de seguridad del servidor como encriptación, firewalls y detección de actividad maliciosa mantendrá su sitio web seguro y un lugar seguro en la web!