Si estás por implementar un sitio con WordPress o ya lo has hecho, la seguridad no es un tema menor y es de lo que te voy hablar esta vez. La siguiente guía es una introducción a la seguridad en WordPress, que iré ampliando en publicaciones posteriores más específicas y avanzadas.
Soy desarrollador de software y llevo usando WordPress desde el 2006. Tengo experiencia no solo instalándolo sino también, creando soluciones personalizadas.
WordPress es un CMS (por sus siglas en inglés) o en español administrador de contenidos, es decir, es una aplicación que se instala en el servidor; así como instalamos apps en nuestro Smartphone o programas como Word en Windows, que en este caso nos permite implementar un sitio web (website). WordPress es un desarrollo abierto de código libre (open source), que es administrado y mantenido por la misma organización que lo desarrolla WordPress.org y por una extensa comunidad de desarrolladores y entusiastas, que extienden las funcionalidades, permitiéndonos transformarlo en lo que necesitemos: un sitio para dictar clases, una tienda de comercio electrónico (ecommerce) y hasta otras funciones sociales y colaborativas como un foro o una red social.
Diferencia entre WordPress.org y WordPress.com
Tienes que saber que existen dos opciones: WordPress.org y WordPress.com, aunque solo se diferencien en la terminación en del dominio, son dos cosas completamente distintas.
WordPress.org es el sitio oficial del producto, aquí no solo podrás descargar la última versión de este CMS, sino también, extensiones (plugins), temas (themes), entre otros recursos. Además, tendrás acceso a guías en donde encontrarás otros servicios como: empresas que ofrecen soluciones, hosting especializado en correr WordPress, entre otros.
WordPress.com es la versión que puedes usar si no quieres darte a la tarea de instalar nada. Es decir, creas tu cuenta y comienzasa acrear contenido. La versión más básica es gratuita, pero puedes darle un aspecto más profesional, pagando ampliaciones del servicio, como la opción que te permite utilizar tu propio dominio.
Instalando WordPress
Si ya instaste WordPress y quieres aprender a mantenerlo seguro la siguiente guía de iniciación, te permitirá abordar los temas más básicos sobre la seguridad en la instalación de tu sitio WordPress
Consejos para implementar/mejorar la seguridad de WordPress
No uses los datos instalación/configuración por defecto
La instalación de WordPress es muy sencilla, pero debes saber que puedes utilizar extensiones (plugins) para mejorarla, así como también: crear un archivo .htaccess que lo dote de opciones extras de seguridad.
htaccess que viene de acceso de hipertexto (HyperText Access) y es un archivo de configuración que se utiliza en los servidores Apache. Contiene las directivas de funcionamiento, indicando que cosas están permitidas y que no. Por ejemplo, en este archivo, puedes bloquear el acceso público a carpetas (directorios) alojadas en el servidor. Es bueno que sepas que existe este archivo, que es muy importante y un gran aliado para configurar muchos aspectos de tu sitio.
Cambia el prefijo de la base de datos, el usuario por defecto, etc.
Por defecto WP (WordPress), utiliza el prefijo wp_ cuando crea las bases de datos. Es un dato conocidos por todos, por lo que es recomendable cambiarlo y evitar así el acceso no autorizado a la base de datos.
Lo mismo ocurre con el usuario Admin, que es el usuario que se crea con la instalación y tiene todos los privilegios.
Todos los prefijos y nombres por defecto, son ampliamente conocidos y es una buena práctica cambiarlos.
Protege el login de tu sitio
Así como es conocido que muchos no cambian el prefijo que por defecto utiliza WP en la base de datos, la dirección en donde el usuario se loguea (inicia sesión), también es conocida y cambiarla, es un pequeño y sencillo paso que agrega un obstáculo más, para el que tenga intensiones de hacer un ingreso no autorizado a tu sitio.
La dirección por defecto es https://tudominio.com/wp-login, lo ideal sería cambiar wp-login por otra denominación, que no resulte nada fácil y así evitar que lleguen a la pantalla de login. También, puedes utilizar agregar sistemas de autenticación de dos pasos, captchas, etc.
Protege el login de tu hosting
Ahora que ya protegiste el login de sitio, los malintencionados al no encontrar la forma de entrar, buscarán hacerlo hackeando el hosting. Los servicios de hosting suelen incluir herramientas para proteger el ingreso al servidor, pero usualmente, no todas están activadas. Activar la autenticación de dos pasos, el uso de capacha, por nombrar algunas de las opciones, es necesario para mantener tu servidor bajo tu control.
Consejos para contratar servicios de hosting
En este caso no te voy a dar nombres concretos de empresas, con esto me suele suceder como con las compañías de teléfonos celulares, todas al principio nos parecen que funcionan bien y después…
Pero sí, lo importante es encontrar una empresa que tenga un buen soporte técnico y en el idioma que te manejes mejor. Si no tienes un buen inglés, es muy estresante llamar por una emergencia y no poder explicarte con soltura. Tampoco contrates los más económico, pero sobre todo usa el sentido común, sobre todo cuando escuches frases como: “espacio ilimitado en disco“.
Mantén todo actualizado
Recuerda, el sitio web está accesible públicamente y mantener WP, las extensiones, los temas y el software del servidor actualizado, es esencial para evitar que cualquiera se aproveche de vulnerabilidades y que se haga con el control del sitio.
Elimina todos los componentes que no uses
Es normal desactivar plugins, cambiar de tema y dejar el anterior. Pero no es una buena idea mantenerlos, ya que tener todos estos componentes desactivados permanecen desactualizados y además, están ocupando espacio y hasta recursos en el servidor. Es por eso que te recomiendo en este caso, hacer una copia local, por ejemplo, en tu computadora (ordenador) deja siempre una copia de cada configuración.
Copias de seguridad
Lo más valioso es la información. Siempre podrás cambiar de servidor/de servicio de hosting y siempre podrás volver a montar todo si tienes una copia de respaldo. Los servicios de hosting ofrecen herramientas para hacer copias de respaldo (backups), al igual que también existen extensiones que permiten guardar tus respaldos en servicios en la nube como DropBox. Si nada esto te gusta, siempre tienes la opción de descargar los respaldos a tu computadora o a un disco duro externo. Las opciones son muchas, lo importante es hacer siempre el respaldo.
Configura de forma eficiente y segura tu instalación
Dependiendo del sitio que estés corriendo, necesitarás adecuar la configuración, sobre todo si tienes pasarelas de pagos o almacenas otro tipo de información sensible. Es por eso que le debes dedicar tiempo para optimizar la configuración de tu sitio para que sea seguro y todo funcione bien.
Certificado SSL
Los certificados SSL (SSL Certificates) ya son un estándar y también un factor CEO, y a pesar de todo esto, todavía nos podemos topar con algunos sitios que no lo tienen implementado.
Los certificados SSL permiten encriptar la conexión entre el servidor y los usuarios, evitando que personas u organizaciones malintencionadas, capturen el trafico vulnerando la integridad de la información o simplmente robándola.
Los certificados se pueden comprar como el servicio de hosting o el domino, pero también, es bastante común que los servicios de hosting te permitan utilizar los certificados de organizaciones como Let’s Ecnrypt, que son gratis y que funcionan igual que los de pagos. De hecho, Let’s Encrypt es el que yo utilizo en Pixelco.
No basta con tener un certificado SSL, también deberás asegurarte que esté bien instalado y que encripte todas las partes de tu sitio, como los subdominios, todas las secciones del sitio, por nombrar solo algunos de los aspectos a tener en cuenta.
Ya no tienes escusa para dotar a tu sitio de esta importante herramienta de seguridad.
Herramientas de seguridad externas
Por último, existen muchas herramientas externas para poner a prueba la seguridad de tu sitio WP y de otros aspectos también muy importantes, como la velocidad de carga (que también es un factor CEO). Medir cuanto tarda en cargar el sitio y que componentes son los más pesados, es sencillo con herramientas como el test de velocidad de Pingdom.
Existen utilidades de todo tipo, desde las que miden que tan rápido carga, hasta los que somete tu servidor a pruebas de carga y así ver como se comporta ante una subida inesperada de tráfico como Microfocus, que al momento de escribir esto, es la única que yo conozco que es gratis.
Conclusión
Esta entrada posee un objetivo muy simple, brindar un panorama sobre el tema de la seguridad en una instalación de WP. Espero que te sirva como punto de partida para investigar y lograr implementar una instalación segura.