Introducción

La securización de Wordpress nos permite mantener nuestro sitio al día, de manera que no se puedan producir incidentes de seguridad que dejen nuestro sitio fuera de línea o nos hagan perder sus datos por acción de atacantes. Estas opciones nos permiten securizar mejor nuestro sitio, añadiendo una capa más de seguridad al que proporciona el Servicio de Webs Avanzadas.

NOTA: Estas recomendaciones no son aplicables a PoliBlogs.

Las prácticas básicas para lograr una protección suficiente se implantan mediante los siguientes pasos, que desarrollamos posteriormente:

Mantener Wordpress actualizado.
Mantener los plugins y temas actualizados, verificando también si el desarrollador continúa manteniéndolos. Se pueden activar las actualizaciones automáticas.
Utilizar la versión de PHP más actualizada y, por tanto, más segura. Esta opción se puede modificar desde el panel de control de Plesk.
En el entorno Plesk, realizar un testeo de seguridad de Wordpress y aplicar las medidas sugeridas.
Utilizar certificados SSL para asegurar la comunicación con nuestro sitio.
Utilización de contraseñas complejas de usuario, tanto de usuarios administradores como editores y colaboradores, dado que los atacantes pueden lanzar la publicación de entradas no deseadas.
También es recomendable no utilizar el nombre de usuario «admin», para evitar los ataques más simples.
Limitar el número de conexiones de usuario fallidas para evitar ataques de fuerza bruta.
Proteger la página web de acceso al escritorio de Wordpress. Se puede asegurar utilizando varias prácticas que se pueden implantar juntas para lograr una mayor seguridad.
Realizar copias periódicas de seguridad del sitio y almacenarlas en lugar seguro.
Bloquear las publicaciones desde aplicaciones de dispositivos móviles, prefiriendo la publicación desde el panel Wordpress del sitio.
Uso de cortafuegos para limitar el número de interacciones del usuario sobre nuestro sitio. Un atacante puede lanzar un ataque DoS que imposibilitaría el acceso a nuestro sitio.

Implantación de las medidas de securización

1 y 2. Mantener Wordpress, plugins y temas actualizados. En el menú "Wordpress" en las pestañas "Installations" "Plugins" y "Themes" podemos actualizar todos los componentes de WordPress:

FAQS GREGAL > Securización de sitios web de Wordpress desde Plesk > image2023-10-3_14-49-55.png

NOTA: Se pueden activar las actualizaciones automáticas de los plugins de Wordpress, pero teniendo en cuenta que podría no ser compatible con nuestra configuración.

3. Para utilizar la última versión de PHP debemos acceder al panel de gestión de nuestro servicio de hosting. En el caso de la UPV, debemos acceder a nuestro panel de gestión Plesk y seleccionar la siguiente opción:

FAQS GREGAL > Securización de sitios web de Wordpress desde Plesk > PHP_WP.png

Una vez seleccionada, se nos muestra la siguiente pantalla, donde podemos seleccionar la opción deseada y guardar los cambios (si es posible, la versión más actualizada):

FAQS GREGAL > Securización de sitios web de Wordpress desde Plesk > PHP_WP2.png

4. WordPress incluye algunas medidas de seguridad que no están activas por defecto. Para activarlas vamos al menú "WordPress" > "Security":

FAQS GREGAL > Securización de sitios web de Wordpress desde Plesk > image2023-10-3_14-58-40.png

Nos aparecerá la siguiente ventana. Una vez seleccionadas las opciones que queramos activar, pinchamos sobre el botón «Secure».

FAQS GREGAL > Securización de sitios web de Wordpress desde Plesk > SECURE_WP.png

5. Para evitar la captura de datos de nuestro sitio web, debemos utilizar un certificado SSL válido. El panel de Plesk nos permite obtener un certificado Let's Encrypt. Podemos acceder a la siguiente dirección:

Instalación de certificado SSL en el panel de control de Plesk

8. Para limitar el número de intentos fallidos de acceso de acceso al escritorio de Wordpress se pueden utilizar diversos plugins, de manera que un hacker no podrá realizar un ataque de fuerza bruta. Nuestra recomendación es el uso de uno de los siguientes plugins, pero se puede utilizar cualquier plugin de seguridad que lo limite:

Limit Login Attempts Reloaded.
WPS Limity Login.

9. Podemos proteger la página de acceso al escritorio de Wordpress utilizando plugins que implanten Google Authenticator o preguntas de usuario.

10. Las copias de seguridad se pueden implantar con el uso de plugins que implementen dicha funcionalidad, siendo destacables:

All-in-One Wp Migration.
UpdraftPlus WordPress Backup Plugin

NOTA: En en panel de Plesk también disponemos de una opción de copia de seguridad que comentamos en la siguiente página Backups de Plesk

11. El bloqueo de aplicaciones de dispositivos móviles se realiza habitualmente mediante la utilización de plugins que bloqueen XML-RPC. Destacamos el siguiente plugin:

Disable XML-RPC
Security Ninja - Security Scanner
Ninja Scanner

12. Como cortafuegos destacamos los siguientes, con otras opciones atractivas en materia de seguridad:

Ninja Firewall
Wordfence Firewall (de pago).

Otras opciones de seguridad

Podemos establecer una serie de medidas adicionales de seguridad para proteger nuestro sitio web.

Securizar el panel de control de Plesk mediante Google Authenticator: esta opción nos permite securizar, con autenticación de doble factor, nuestro panel. El acceso se realiza a través del menú indicado:

FAQS GREGAL > Securización de sitios web de Wordpress desde Plesk > google.png

2. Podemos securizar la página de acceso al escritorio de Wordpress mediante el uso del plugin WPS Hide Login o similar. De esta forma, un hacker no podrá lanzar un ataque sobre nuestra página de acceso. Podemos modificar el nombre de la página a nuestro gusto, como se puede ver en la imagen.

FAQS GREGAL > Securización de sitios web de Wordpress desde Plesk > WPSHL.png

NOTA: Recuerda que el acceso se realiza con nombre_del_sitio.webs.upv.es/?acceso_personal (por ejemplo). RECUERDA PONER EL ? ANTES DEL NOMBRE DE LA PÁGINA DE ACCESO.

3. Si tenemos habilitada la posibilidad de recepción de correos y comentarios, podemos utilizar el plugin Akismet Antispam. La configuración de este plugin incluye el acceso a Akismet para obtener una clave gratuita que active el servicio.

4. Opciones de pago para securizar nuestro sitio: podemos utilizar plugins de seguridad de pago, que permiten evitar la enumeración de usuarios, disponen de firewall, la inclusión de un doble factor de autenticación de acceso a la página de acceso al escritorio de Wordpress, etc. El plugin más completo es Wordfence Firewall.

5. Detección de malware y modificaciones en los ficheros de nuestro sitio: Se puede proteger mediante el uso de Ninja Scanner, Sucuri Firewall o Wordfence Firewall (de pago).

6. Comprobación de vulnerabilidades: también hay a nuestra disposición plugins como Security Ninja Malware & Scanner para que nos informe de posibles agujeros de seguridad en nuestro sitio web.