La securización de Wordpress nos permite mantener nuestro sitio al día, de manera que no se puedan producir incidentes de seguridad que dejen nuestro sitio fuera de línea o nos hagan perder sus datos por acción de atacantes. Estas opciones nos permiten securizar mejor nuestro sitio, añadiendo una capa más de seguridad al que proporciona el Servicio de Webs Avanzadas.
NOTA: Estas recomendaciones no son aplicables a PoliBlogs.
Las prácticas básicas para lograr una protección suficiente se implantan mediante los siguientes pasos, que desarrollamos posteriormente:
1 y 2. Mantener Wordpress, plugins y temas actualizados. En el menú "Wordpress" en las pestañas "Installations" "Plugins" y "Themes" podemos actualizar todos los componentes de WordPress:
NOTA: Se pueden activar las actualizaciones automáticas de los plugins de Wordpress, pero teniendo en cuenta que podría no ser compatible con nuestra configuración.
3. Para utilizar la última versión de PHP debemos acceder al panel de gestión de nuestro servicio de hosting. En el caso de la UPV, debemos acceder a nuestro panel de gestión Plesk y seleccionar la siguiente opción:
Una vez seleccionada, se nos muestra la siguiente pantalla, donde podemos seleccionar la opción deseada y guardar los cambios (si es posible, la versión más actualizada):
4. WordPress incluye algunas medidas de seguridad que no están activas por defecto. Para activarlas vamos al menú "WordPress" > "Security":
Nos aparecerá la siguiente ventana. Una vez seleccionadas las opciones que queramos activar, pinchamos sobre el botón «Secure».
5. Para evitar la captura de datos de nuestro sitio web, debemos utilizar un certificado SSL válido. El panel de Plesk nos permite obtener un certificado Let's Encrypt. Podemos acceder a la siguiente dirección:
Instalación de certificado SSL en el panel de control de Plesk
8. Para limitar el número de intentos fallidos de acceso de acceso al escritorio de Wordpress se pueden utilizar diversos plugins, de manera que un hacker no podrá realizar un ataque de fuerza bruta. Nuestra recomendación es el uso de uno de los siguientes plugins, pero se puede utilizar cualquier plugin de seguridad que lo limite:
9. Podemos proteger la página de acceso al escritorio de Wordpress utilizando plugins que implanten Google Authenticator o preguntas de usuario.
10. Las copias de seguridad se pueden implantar con el uso de plugins que implementen dicha funcionalidad, siendo destacables:
NOTA: En en panel de Plesk también disponemos de una opción de copia de seguridad que comentamos en la siguiente página Backups de Plesk
11. El bloqueo de aplicaciones de dispositivos móviles se realiza habitualmente mediante la utilización de plugins que bloqueen XML-RPC. Destacamos el siguiente plugin:
12. Como cortafuegos destacamos los siguientes, con otras opciones atractivas en materia de seguridad:
Podemos establecer una serie de medidas adicionales de seguridad para proteger nuestro sitio web.
2. Podemos securizar la página de acceso al escritorio de Wordpress mediante el uso del plugin WPS Hide Login o similar. De esta forma, un hacker no podrá lanzar un ataque sobre nuestra página de acceso. Podemos modificar el nombre de la página a nuestro gusto, como se puede ver en la imagen.
NOTA: Recuerda que el acceso se realiza con nombre_del_sitio.webs.upv.es/?acceso_personal (por ejemplo). RECUERDA PONER EL ? ANTES DEL NOMBRE DE LA PÁGINA DE ACCESO.
3. Si tenemos habilitada la posibilidad de recepción de correos y comentarios, podemos utilizar el plugin Akismet Antispam. La configuración de este plugin incluye el acceso a Akismet para obtener una clave gratuita que active el servicio.
4. Opciones de pago para securizar nuestro sitio: podemos utilizar plugins de seguridad de pago, que permiten evitar la enumeración de usuarios, disponen de firewall, la inclusión de un doble factor de autenticación de acceso a la página de acceso al escritorio de Wordpress, etc. El plugin más completo es Wordfence Firewall.
5. Detección de malware y modificaciones en los ficheros de nuestro sitio: Se puede proteger mediante el uso de Ninja Scanner, Sucuri Firewall o Wordfence Firewall (de pago).
6. Comprobación de vulnerabilidades: también hay a nuestra disposición plugins como Security Ninja Malware & Scanner para que nos informe de posibles agujeros de seguridad en nuestro sitio web.