Medidas de seguridad en WordPress (II)

medidas de seguridad en wordpress

WordPress necesita más cosas que una simple configuración inicial.

Cuando creamos una web en wordpress solemos prestar atención a la usabilidad, al diseño o en si tal plugin que has visto encajaría en tu proyecto. Eso esta muy bien pero ¿y la seguridad? Te paras a pensar lo necesario que es tomar medidas de seguridad en wordpress?

Imagínate por un momento que te levantas una mañana, enciendes tu ordenador y ves que tu trabajo de tantas horas se ha ido al garete por haber permitido que entrara en tu sistema un “simpático hacker”.

En ese momento te tiembla el cuerpo.

Vas a buscar tu copia de seguridad  y ves que no la tienes hecha.

 

No pasa nada, te sientas, respiras y piensas la típica frase que de ánimo: No es para tanto, más se perdió en cuba o todo tiene solución menos la muerte… pero en ese momento estás hundido.

Pero bueno, todo pasa. A veces tiene solución el ataque y otra es irreversible.

Para evitar esto hay que tomar una serie de medidas de protección necesarias.

 

¿Instalando determinados plugins y llevando a la práctica tus consejos evitaré que me ataquen, me entre spam o malwares?

La respuesta es no. La protección nunca y para nadie es 100% segura aún estando en el 2.016

Te digo que no porque si algún pirata del caribe quiere entrar en tu wordpress puede llegar a hacerlo, es difícil pero puede.

Lo que si te garantizo es que en un altísimo porcentaje protegerás tu wordpress y será muy difícil que te hagan daño.

 

encrypted¿Cuales son las principales medidas de seguridad en wordpress?

 

anti-spamProtección frente a comentarios Spam

Como ya te he explicado en anteriores lecciones. Cuando tu blog va teniendo visibilidad y visitas a través de los comentarios te suele entrar siempre Spam.

Para evitarlo es tan simple que tienes que tener configurado el plugin Akismet. Este como sabes viene por defecto.

Existen mas plugin de seguridad web de este tipo pero Akismet ofrece una gran protección y es sencillo de configurar.

 

Cómo se Configura Akismet

Para configurar Akismet, hay que seguir una serie de pasos.

Accede en el panel de control a la opción “plugin instalados”

Haz clic en “Ajustes akismet”

En la siguiente pantalla tendrás que conseguir tu clave API, para ello pincha en “consigue clave API”

Si ya la has obtenido anteriormente solo tendrás que copiarla manualmente en la opción de abajo.

 

como se configura akismet

 

Una vez rellenados los campos de nombre email y contraseña elegimos el plan básico para no tener que pagar nada. Es más que suficiente para estar protegidos.

 

como se configura akismet

 

Si te fijas a la derecha te saldrá una barra para hacer una donación en la que puedes incrementar más o menos cantidad. Cómo imagino que no querrás donar nada, lo bajamos a cero euros.

Seguidamente, rellena los campos que te aparecen en la izquierda.

 

configuración de akismet

Una vez rellados todos los campos, haz clic en “actívate this site”

comentarios spam

En la siguiente pantalla te muestra la Api y unas opciones para marcar.

Yo lo dejo por defecto porque prefiero que me indique revisar manualmente que spam me ha entrado.

La opción comentarios la dejo desmarcada. Si tu quieres puedes marcarla y ver al lado de cada comentario el número de aprobados…

 

ajustes akismet

 

Guarda los cambios.

¡Ya esta!

Ya puedes estar tranquilo, acabas de librarte de eso miles de comentarios tan molestos que llenan nuestra bandeja de texto y que además pueden llegar a ralentizar tu WordPress.

Con akismet estarás seguro, detecta a los robots de los spammer y los bloquea.

Si accedes ahora a tu panel de control, podrá ver que  tienes la opción Akismet en ajustes. Si accedes a él puedes hacer cambios en la configuración.

Pasado un tiempo gráficamente cada mes podrás ir viendo además los posibles correos spam que han podido ir entrando.


WordPress cada instalación nueva que vayas realizando la va insertando por distintos sitios del panel de control.


compact-discsLas mejores medidas de seguridad con xcloner

A pesar que hay servidores que hacen copias de seguridad de tu web (algunos la hacen incluso cada 4 horas), te recomiendo instalar un plugin de seguridad web.

Es mejor curarte en salud, hacer copias de seguridad de tu wordpress cuando quieras y tener acceso a ellas. Si encima tu servidor también las tiene guardadas pues mejor.

Si tengo que elegir un plugin seguro para wordpress me quedo con el programa para copias de seguridad Xcloner. Se trata de un programa para hacer backup rápido, sencillo y fiable. En un par de clics tienes tu copia descargada.

 

Instalación de xcloner

plugins

Como te digo, xcloner es un  programa para hacer copias de seguridad muy sencillo de manejar.

En la anterior lección de wordpress aprendiste a configurar completamente los apartados del panel de control: Usuarios y Ajustes.

En esta con la instalación de este plugin de backups vas a aprender a instalar cualquier plugin.

Para la instalación de Xcloner accede al panel de control-plugins- añadir nuevo.

medidas de seguridad en wordpress

 

En el buscador tienes la posibilidad de buscar el plugin que necesites o tienes la posibilidad de subirlo si lo has descargado desde el navegador desde la opción “subir plugin” (arriba a la izquierda)

Escribe xcloner en el buscador y te ofrecerá una serie de resultados.

Haz clic en instalar.

 

Instalar xcloner

 

Una vez realizado el proceso, haz clic en activar

Automáticamente aparecerá en el panel de control-plugins instalados.

Como ves ya lo tienes activo.

 

Instalación xcloner

 

Para configurarlo tienes que buscar donde ha sido alojado Xcloner y ver las opciones de configuración en el panel de control.


WordPress cada vez que hace una instalación de un plugin aloja las opciones en distintos sitios de panel, a veces incluso las opciones están en la misma pantalla de plugin instalados como es el caso de Akismet en el que puede hacer clic en ajustes y configurarlo desde ahí.


En este caso Xcloner está dentro de plugins


Para entender mejor la pantalla de plugins puedes observar las diferentes opciones 

Puedes elegir acciones en lote para borrar varios plugins de golpe, activar,desactivar o actualizar

Además puedes desactivar independientemente cada uno de ellos.

Una vez desactivado te da la opción de borrarlo (Te recomiendo no dejarlo ahí y eliminarlo)

Cada plugin puedes editarlo.

Para editarlo has de tener conocimiento de html (hyper text markup language) 

Normalmente, no se suele tocar el código.

Hay personas que prefieren modificar el codigo y conseguir un diseño más personal (para esto hay que ser un experto ya que puedes desconfigurar todo).

Hoy en día existen plugins para casi todo pero tienen la desventaja de que sobrecargar tu wordpress con muchos pueden ralentizarlo.

 En estos casos y a veces es sencillo solo es necesario modificar o introducir una línea de código.

El código html hay que tocarlo con sumo cuidado y haciendo una copia de seguridad antes.


Si te esta gustando el contenido, únete a la comunidad y recibe más cosas interesantes 😉

 

¿Cómo hacer una copia de seguridad con Xcloner?

Configurar xcloner es muy sencillo y hacer copia de seguridad (backup)  se hacen en un par de clics.

Para acceder al programa, haz clic en plugin – xcloner

Una vez accedemos a el. Como puedes ver en la imagen, la pantalla inicial debe tener todo marcado en verde marcado(ok) Esto te indicará que esta todo correcto.

 

configurar xcloner


Si en la segunda opción (Backup store path check) te da error en rojo habría que arreglarlo creando una carpeta desde el gestor ftp o desde el panel de control de tu administrador de hosting pero en el 99% de los casos da ok


Setting:

1. General:

Dejar como esta por defecto. Si quieres puedes marcar la tercera opción en el caso de que quieras guardar siempre absolutamente todas las copias desde el principio (ocupara más espacio y no es necesario)

 

2. Mysqml:

Son los datos de tu cuenta. No tocar

 

3. System:

Puedes optar por elegir el idioma español (aunque la traducción es un poco rara) No hace falta ni cambiarlo ya que el uso es muy sencillo y no hace falta tocar apenas nada, son prácticamente dos pasos.

El resto de opciones es para usuarios avanzados. Te recomiendo que lo dejes como esta.

 

4. Cron:

Es una opción que da xcloner para hacer copias de seguridad programadas.

La configuración para esto es complicada ya que se usa con un archivo crontab para ello has de colocar este archivo crontab en el sevidor, utilizar una cuenta Shell…

¿me callo no? Estas aquí para hacerlo todo sencillo. No merece la pena.


Te recomiendo hacer una copia de seguridad wordpress cada cierto tiempo.

Además tienes que tener en cuenta que habrá veces en las que hagas dos copias de seguridad un día porque estás haciendo pruebas por ejemplo y quizá no vuelvas a realizar ninguna otra hasta pasada 1 semana.

Lo importante es que la hagas regularmente.

Yo recomiendo al menos hacer una copia de seguridad una vez a la semana.


Una vez vista las opciones de settings, vuelve al menú principal haciendo clic en cancelar.

Si has cambiado el idioma que es el único paso recomendado haz clic en salvar.

 

View backups

En esta opción podrás ver las copias de seguridad realizadas. En este caso no hay ninguna todavía pero una vez realizadas se irán almacenando aquí.

 

Generate Backup

Esta es la opción a la que tienes que acceder para hacer copias de seguridad.

 

configurar xclones

 

Al entrar como ves, aparecerá una venta de tu base de datos. En ella podrás descartar aquellas carpetas de las que no quieres hacer copia de seguridad.

Te recomiendo hacer copiar de todo, además la copia no ocupa apenas espacio en tu disco duro.(en el servidor si)

Haz copia de seguridad haciendo clic en continuar.

Una vez terminada, pincha en close.

Acto seguido te dirá backup completada.

 

Configuración de xcloner

 

Ahora tienes que ir al boton back y hacer clic en download.

 

Configurar xcloner

 

Listo.

La copia se descargara en tu disco duro y podrás guardarla en sitio seguro.


Te aconsejo que vayas borrando las copias que se generan dentro del programa(View backups) ya que estas consumirán la capacidad de almacenamiento de tu hosting.


antivirus2Plugin de seguridad frente a ataques y malwares.

Tu web no está segura si no usas un plugin de seguridad. Este se debe usar desde el principio.

Se que no quieres instalar otro más a la lista pero en algunos casos es obligatorio. Más abajo te explico cuando.

 

¿Que te puede ocurrir si no estas protegido?

Pero ¿Por qué me van a intentar fastidiarme si soy más bueno que el pan?

Porque no todo el mundo tiene buenas intenciones y da igual que seas un santo.

Debes preocuparte imprescindiblemente por la seguridad de tu blog porque te pueden pasar estas cosas:

Se pueden dar intentos de login o ataques masivos.

 Pueden querer crear redes de bolnet en tu web usando la potencia para ataques mayores.

Pueden entra en  tu servidor para enviar spam desde el.

 

Pueden acceder a tu administrador e inyectarte multitud de malwares.

Programas automáticos (bolts).

Puedes sufrir ataques por fuerza bruta o de diccionario para averiguar tu contraseña

 

En definitiva, personas que quieren hacer daño por pura competencia, rencor profesional o simplemente maldad.

El uso de la fuerza bruta esta automatizado y las combinaciones de palabras que usan los programas son infinitos.

Hay que defenderse.

 

¿Qué hacer para estar protegido?

El primero que tiene que garantizarte seguridad es tu proveedor de hosting. Si este no lo hace, tienes que instalar irremediablemente plugins de seguridad.

Si quieres tener un servidor de garantías lee el articulo sobre qué mirar a la hora de contratar un hosting.

Optar por un hosting barato no solo te puede provocar caídas de servidor, lentitud en la velocidad de carga o una mala atención técnica. Lo peor es que tu web se vea afectada por sus sistemas de seguridad.

 

Ya comente en otro post la fiabilidad de los hostings baratos. En él te decía que si tienen precios tan económicos , por algún lado tienen que ofrecer menos funcionalidades.

Sus sistemas protección suelen ser un punto principal donde flaquean.

Webempresa es para mí como sabes la mejor empresa de hosting. Con un soporte en español, cuenta con un sistema anihackeos por lo que no necesitas instalar ningún plugin de seguridad.

 

La mayoría de los ataques se producen desde países de habla no hispana y webempresa tiene bloqueado el acceso a la administración desde estos países.

Si tu hosting no te da esa seguridad tienes necesariamente que instalar un plugin de seguridad wordpress.

Si tengo que recomendarte uno, te aconsejo un plugin que he usado para otro dominio no alojado en webempresa.

El plugin es Ithemes security (antiguo better wp  security). Este da una seguridad absoluta.

 

Yo optaría por la versión gratuita pues es más que suficiente para tener tu web protegida.

Para saber cómo configurarlo puedes leer este artículo de Antonio Cambronero  donde te explica todo perfectamente.

Otro plugin del que hablan muy bien y ofrece las mismas garantías que ithemes security es wordfence security.

banned-user12 medidas de seguridad para wordpress

Ademas de la instalación para proteger tu sistema de un plugin para hacer copia de seguridad wordpress, un antispam como es Akismet y un programa de seguridad web hay otros factores de protección que debes tener en cuenta para optimizar wordpress.

 

1. Plantillas y plugins

No instales plantillas(temas) gratis sin un renombre ni plugins desconocidos.

Mucho cuidado con lo que hay en la red. Te aconsejo que mires el número de descargas que tiene cada theme que veas. Esto te puede ayudar a comprobar su fiabilidad.

Ten en cuenta que cada vez que instalas un plugin en tu wordpress estas insertando código escrito por un tercero.Esta persona probablemente no tenga tanta exactitud en examinar su código como el equipo de make wordpress.

 

La licencia GPL es otro punto del que te puedes fiar al 100%. Existen plugins y plantillas piratas que podrían darte algún que otro disgusto.

Descárgate los temas o plugins desde las páginas web oficiales o como te he dicho de sitios que ofrezcan seguridad.

Las posibilidades de que un plugin sea malo para tu web son escasas pero siempre es bueno saber que plugin estás instalando. Para no equivocarte aquí tienes unas lista con los mejores plugins para wordpress.

 

2. Actualizaciones

Debes actualizar wordpress a la última versión. Esto es necesario.


Ojo:

Espera dos o tres días antes de hacer la actualización. A efectos de evitar ciertos problemas es mejor esperar un poco por si surgen incompatibilidades o pequeños errores en la actualización y así evitar que estos afecten a tu web


Actualizar plugins y temas también es una tarea básica. Estas reformas que wordpress ofrece, suelen usarse entre otros motivos para evitar vulnerabilidades y asi proteger y optimizar tu wordpress.


Ojo:

Infórmate antes de actualizar cualquier wordpress themes.

Una actualización puede provocar pérdidas en aspectos personalizados de tu web.

A no ser que uses un child theme (tema hijo) no es recomendable hacer la actualización a la ligera (hablaremos en otras lecciones ya que es un asunto algo complejo)

Recuerda: Antes de hace cualquier actualización, haz una copia de seguridad.


3. Usuario 

Cambia el nombre de admin que wordpress pone por defecto al usuario.

Si has optado por un hosting que ofrece una instalación automática de WordPress, automáticamente te asignan otro nombre.

Date cuenta que la palabra admin va a ser lo primero que una persona va intentar para acceder a tu wordpress. Igualmente olvídate de palabras como administrador o admin123 o algo por el estilo.

 

4. Contraseña

Cambia el nombre de tu contraseña cada cierto tiempo no esta de más.

No uses solo letras, utiliza también caracteres especiales y numéricos.

Una buena contraseña es algo asi: 7bFuYtjGi*T/@a

 

5. Correo electrónico:

Intenta no usar el mismo correo electrónico para todo.

Imagínate que con ese correo pueden acceder a tu correo, twitter, Facebook… Nunca se sabe…

 

6. Contraseñas de tu panel de control de tu servidor

Te debes proteger, no le des tus contraseñas del panel de control o de tu wordpress a nadie.

Si un programador necesita entrar para arreglarte algo, añade en tu wordpress un nuevo usuario y dale acceso temporal.

En el caso que quieras facilitarle el acceso accediendo con las tuyas, cambia de nuevo las claves una vez haya terminado.

 

7. Certificados de seguridad

Asegúrate de que tu alojamiento (hosting) tiene activado los certificados de seguridad SLL.

Estos certificados son necesarios si en tu web hay una pasarela de pago, formularios, accesos y otros donde la necesidad de proteger datos es fundamental.

Los certificados SLL están orientados sobre todo al ecommerce donde es más que necesario realizar la encriptación de datos pero en cualquier web que tenga registros es necesario también

 

8. Privacidad

¿Sabes que con la herramienta whatwpthemeisthat  puedes ver qué tema (theme) está usando una web de la competencia? y no solo eso, nos dice todos los plugins que tiene instalado esta persona.

¿Increible verdad?

A nivel personal esto puede ayudarte a la hora de escoger para tu web un determinado formulario o mejorar aspectos en el diseño de tu sitio.

En determinadas temáticas esto no se esconde y puedes preguntar al profesional que plugin usa y te lo dirá probablemente. Habrá quien a lo mejor no lo haga y sin embargo no tenga cerrado el acceso mediante esta herramienta.

 

El problema es que tener acceso directo a esta información y que esta pueda caer en malas manos es preocupante.

Estos piratas o piratillas  pueden querer aprovechar algún fallo en tu tema para atacarte o incluso pueden querer usar esta información para clonar tu página.

Quieres ocultar esta información. ¿Cuál es la solución? El mejor remedio es modificar el código html.

En otras lecciones contare como hacerlo ya que es pronto para que te metas en código.

 

9. El Plugin Security Scanner

Security scanner te ayuda a detector vulanabilidades de tus plugins instalados.

 

10. Sucuri security

Es un plugin localizador de malwares y una herramienta para reforzar la seguridad.

Lo mejor es contratar un buen hosting que tenga antihackeos , de lo contrario prepárate a ralentizar tu web con tanta instalación de plugins de seguridad.

¿Otro plugin más vas a instalar?No Click Para Twittear

Los plugins para wordpress son muy necesarios para el diseño y configuración de wordpress úsalos inteligentemente.

 

11. Sistema Captcha

El sistema captcha es la barrera principal antispam. Esta barrera es como la puerta principal y un plugin como akismet sería la segunda puerta.


El sistema captcha es un sistema para detectar que la persona que esta accediendo a nuestra web mediante sus datos no es un robot. Para ello te pide que insertes manualmente un número o elijas una serie de imágenes.


En algunes sectores no creo que sea acertado. Debes de pensar en la seguridad si, pero también en el usuario.

 

12. Disqus

Disqus sustituye al original sistema de comentarios de wordpress por defecto.

Opino al igual que el sistema captcha, solo usarlo si es necesario.

Para determinados sectores no puedes pedir a alguien que rellene campos por todo porque en muchas ocasiones se irá.

En un uso medio de los sistemas de seguridad creo que esta el acierto.

 

vista-116Infografía: 12 medidas de seguridad en wordpress

infografia 12 medidas de seguridad en wordpress

folder-orangeConclusión

No creo que haya que obsesionarse.

Pero con estos consejos quiero que te hagas una idea de que elegir y que no.

Lo que si creo que es necesario es tener unos mínimos de seguridad a la hora de crear un blog para wordpress y principalmente tener un buen hosting para ahorrarte tener que instalar plugins innecesarios.

Y tu cuéntame;

¿cuales son para ti los mejores plugins de seguridad en este 2016 y que medidas tomas?

¡Suscríbete y recibe gratis!

  El minicurso de iniciación rápida al Marketing Digital

  Un ebook sobre cómo monetizar tu blog

√ Un  e-mail semanal para que no te pierdas nada

An error occurred. Please try again and make sure all form fields are filled out.
GRACIAS POR SUSCRIBIRTE. EN BREVE RECIBIRÁS EN TU E-MAIL MI EBOOK, EL MINICURSO Y LOS ÚLTIMOS POST QUE SE VAYAN PUBLICANDO. ¡BIENVENIDO!
Medidas de seguridad en WordPress (II)
5 (100%) 1 vote

José M. Peña

Enseño en mi Blog cómo crear un proyecto absolutamente de cero. Consultor de Marketing Online, Blogging, WordPress, Seo y Monetización Ayudo a emprendedores a montar su web. Diseño una estrategia para que aparezcas en la primeras posiciones de Google. Me puedes encontrar en las redes sociales.

More Posts - Website

Follow Me:
TwitterFacebookLinkedInGoogle Plus

9 comentarios en “Medidas de seguridad en WordPress (II)

    • Hola Raúl.

      Yo te recomiendo que preguntes a tu hosting.

      Con Webempresa por ejemplo que es el servidor que yo tengo contratado, no hace falta instalar ningún plugin porque tienen bloqueado el acceso a la administración desde países de habla no hispana que es la principal fuente de virus.

      Si aún así lo quieres instalar pues mejor, la seguridad nunca esta cubierta al 100%, pero ya te digo que no es necesario con un buen servidor.

      Un plugin antispam si es imprescindible.

      ¡Un saludo Raúl!

  1. Buenos dias.

    Me parecen acertadísimas las recomendaciones que das en el post. Solo no estoy de acuerdo con lo de instalar un plugin de seguridad en un ISP como WebEmpresa… que es muy bueno (el servicio) pero el añadir una “capa” más de seguridad no está mal.

    A parte de que en mi caso, por ejemplo, no me sirve lo de la discriminación por idioma, dado que tengo clientes que no hablan español y que sus negocios están fuera del territorio.

    Para estos casos (a parte de las recomendaciones que haces) sería añadir esa “capa” que comentaba con un plugin que en su versión gratuita también funciona muy bien.

    Se trata del NinjaFirewall (wp edition) y en el repositorio de wordpress.org lo podéis encontrar en:

    https://es.wordpress.org/plugins/ninjafirewall/

    Facilito de configurar y de poner en marcha y siempre podrás dormir un poco más tranquilo.

    Lo que no recomiendo es usar el firewall de wordfence (si para el resto) y creo que Automattic ha añadido algo al Jetpack pero ya pesa mucho el Jetpack como para añadirle nada más…

    Lo dicho, que para todo lo demás está genial la entrada

    saludos

    • Hola Miguel. ¡Menudo texto!, me gusta.

      Tienes razón en que tener más protección no está de más.

      Yo uso webempresa, me quise informar ycontacte con ellos y me indicaron que no es necesario tanta protección debido al sistema que ellos usan.

      Una de las cosas que tiene webempresa es sobreprotección(quizá demasiada) por eso hablo de que no se necesita un plugin adicional, pero solo para webempresa que es con quien trabajo y conozco.

      Yo que soy mucho de intentar ahorrarme plugins lo descarto pero es una decisión personal.

      Yo también pienso que no está de más un plugin adicional de seguridad como el que recomiendas pero como te digo es algo que cada uno tiene que ver

      Muchas gracias por el comentario y los consejos 😉 .

  2. Estupendo artículo José,

    sobre todo me quedo con el punto de que hay que tener cuidado con las actualizaciones y tener siempre siempre unas copias de seguridad por lo que pueda pasar.

    Con plugins o themes no demasiado buenos puede darse la ocasión de que se actualice y se desmorone toda la web así que más vale prevenir que curar.

    Un saludo y enhorabuena por el artículo

    • ¡Gracias David!

      Hay que hacer las actualizaciones siempre. Es normal que de miedo pero para nada.

      Si el sitio de la descarga es oficial o es fiable no debe pasar nada.

      De todas formas hacer copia antes y ya está.

      Por cierto leí un articulo tuyo el otro día muy bueno 😉

      Un saludo y gracias

  3. Buenas tardes Jose y muchas gracias por el aporte!

    Llevo tiempo buscando algo de información con respecto a la seguridad de WordPress, y lo poco que había encontrado es Akismet, modificar el prefijo del SQL y poco más.

    Me parece muy completo el artículo! Mi única duda es si instalar tanto plugin de seguridad puede generarme una ralentización de carga, porque tengo entendido que los plugins que están activados las 24 horas pueden llegar a tragar muchos recursos.

    Gracias

    • Gracias a ti Narciso.

      Akismet no consume recursos, solo se activa cuando detecta spam.

      Un plugin de antivirus como ithemes security esta siempre activo pero no hace un uso abusivo de recursos ya que no está analizando tu web las 24 horas.

      Los plugins que más recursos consumen son los de redes sociales, Seo y Slider de imágenes pero con esto no digo que no debas instalarlos.

      Con el plugin P3 plugin performance puedes analizar que plugins de los instalados te consumen más. (Este plugin desactívalo y actívalo sólo cuando lo uses.

      No se si te he ayudado.

Deja un comentario