Asegurar el hosting web de WordPress

En el último artículo Hosting web de WordPress presentamos el popular sistema de gestión de contenidos y analizamos los requisitos técnicos de un hosting de WordPress así como la instalación. Este artículo trata ahora la cuestión de cómo proteger eficazmente su hosting web de WordPress frente a accesos no autorizados.

WordPress es el sistema de gestión de contenidos (CMS) más utilizado en todo el mundo. Debido a su amplia difusión, WordPress es también un objetivo especialmente habitual para los hackers que buscan obtener acceso no autorizado a datos y propagar software malicioso. Sobre todo cuando aumenta la notoriedad de un sitio web, competidores enfadados o individuos maliciosos pueden convertirse en una amenaza creciente para la seguridad de los datos. Normalmente los atacantes intentan obtener acceso al panel de administración para poder instalar allí software malicioso. Para ello buscan vulnerabilidades en la instalación principal o en plugins adicionales. Muchos usuarios no son conscientes de ello o no quieren ocuparse seriamente del tema de la seguridad en WordPress, por lo que áreas importantes a menudo no están suficientemente protegidas, se utilizan contraseñas simples o el sistema completo no se mantiene actualizado. Todas estas circunstancias facilitan a los atacantes comprometer el sistema.

Hemos recopilado para usted los 6 puntos más importantes sobre cómo puede proteger su hosting web de WordPress frente a accesos no autorizados:

1. Mantener actualizado el hosting web de WordPress

El software WordPress se actualiza regularmente; casi todos los meses aparece una actualización de versión que, además de nuevas funciones y correcciones de errores, cierra vulnerabilidades de seguridad conocidas. Quienes usan WordPress normalmente no se limitan a la instalación estándar, sino que la amplían con un tema personalizado y varios plugins. Lo mismo que se aplica a WordPress en sí se aplica también a estas extensiones. Para ofrecer la menor superficie de ataque posible a hackers y bots, todo el sistema debe mantenerse siempre actualizado. Al iniciar sesión en el panel de administración se muestran de forma clara las actualizaciones disponibles y se pueden aplicar directamente. Quienes administran un gran número de sitios web y no inician sesión con regularidad en cada instalación pueden usar herramientas como el plugin WP Updates Notifier. Cuando hay actualizaciones nuevas disponibles, el plugin envía automáticamente una notificación por correo electrónico al administrador.

2. Nombre de usuario personalizado y contraseña segura

Un método muy sencillo pero sumamente eficaz para protegerse de ataques es elegir un nombre de usuario individual y establecer para él una contraseña segura. Por defecto, los nombres de usuario para acceder a las interfaces de administración suelen ser Administrator, Admin o Root. Los atacantes aprovechan este hecho y, mediante los llamados ataques de fuerza bruta, intentan obtener acceso al sistema. Para ello utilizan nombres de usuario conocidos y prueban distintas contraseñas a partir de listas de diccionario. Si en su lugar se utiliza un nombre de usuario personalizado, no solo habría que descifrar la contraseña, sino también probar simultáneamente todas las posibles combinaciones de nombres de usuario. En este contexto conviene subrayar la importancia de una contraseña segura. La mayoría de los usuarios prefiere combinaciones de caracteres fáciles de recordar; no es raro que se use simplemente 123456 o el propio nombre como contraseña. Ese tipo de cadenas se encuentran y se rompen con rapidez usando listas de diccionario. Una contraseña realmente segura debería tener al menos 12 caracteres y combinar números, letras y caracteres especiales.

3. Cambiar el prefijo de tablas de WordPress

Algunos ataques van dirigidos directamente a vulnerabilidades en la base de datos; esto se conoce como inyección SQL. Los atacantes intentan así obtener acceso a la base de datos para inyectar sus propios comandos que puedan causar daños. WordPress utiliza por defecto el prefijo de tablas wp_ en la base de datos, por lo que los ataques se dirigen especialmente a este prefijo. También en este caso renombrarlo por un nombre personalizado, por ejemplo up2uwp_, puede aumentar la seguridad. Lo más sencillo es realizar este cambio durante la instalación de WordPress; modificar el prefijo posteriormente solo es posible de forma compleja, editando la wp-config.php.

4. Utilizar conexiones cifradas

Los datos, como la instalación de WordPress, se cargan en el espacio web mediante una conexión FTP. Es imprescindible usar una transmisión cifrada. Los proveedores de hosting web suelen permitir una conexión segura mediante el protocolo SFTP. En algunas tarifas de hosting web también existe la posibilidad de usar FTP sobre SSH. Quienes trabajan especialmente en redes Wi‑Fi públicas deberían así proteger las credenciales frente al acceso de terceros no autorizados. También es recomendable emplear un certificado SSL para todo el espacio web. De este modo, todas las conexiones entre el navegador y WordPress, incluido el acceso al inicio de sesión del administrador, quedan cifradas de forma segura.

5. Activar la protección por contraseña mediante .htaccess

La mayoría de los proveedores de hosting utilizan en sus servidores un servidor web Apache. Este soporta el uso de archivos de configuración .htaccess, con los que se pueden implementar funciones individuales, entre ellas medidas para proteger el acceso a directorios. De este modo, se puede impedir por completo el acceso público al área de administración de una instalación de WordPress. Para ello, solo es necesario activar la función en el archivo .htaccess y colocar un archivo .htpasswd correspondiente con usuario y contraseña en el directorio. Si tiene preguntas detalladas sobre la implementación, su propio proveedor de alojamiento web puede ayudar; a menudo esta configuración también puede realizarse cómodamente a través del panel de control del alojamiento web.

6. Precaución con los plugins de WordPress

Debido a que la funcionalidad de WordPress puede ampliarse de forma muy sencilla mediante plugins, muchos usuarios instalan numerosos complementos para todo tipo de funciones. Sin embargo, cuanto más extensiones estén en uso, mayor será la superficie de ataque para los atacantes. Dado que cualquier persona con conocimientos de programación puede desarrollar y publicar sus propios addons para WordPress, no se puede descartar que se hayan colado errores en el código que supongan vulnerabilidades de seguridad. Sobre todo los usuarios sin conocimientos técnicos no pueden saber qué hacen los plugins en segundo plano. Por una parte, antes de su uso hay que comprobar si la extensión procede de una fuente de confianza. Por ejemplo, puede verificarse si hay un desarrollador reconocido detrás del plugin o si usuarios experimentados ya han revisado el código fuente y publicado una valoración al respecto. Por otra parte, deberían utilizarse únicamente los plugins estrictamente necesarios. Al igual que en el ordenador doméstico, existen numerosos plugins para WordPress que prometen más seguridad o tiempos de carga más rápidos, pero que a menudo causan más perjuicio que beneficio. Son pocos los plugins que han demostrado ser realmente útiles. Entre ellos se encuentran, por ejemplo, Limit Login Attempts, para limitar los intentos de acceso fallidos, o WP Anti Virus como antivirus para el sitio web.