Introducción

La securización de Wordpress nos permite mantener nuestro sitio al día, de manera que no se puedan producir incidentes de seguridad que dejen nuestro sitio fuera de línea o nos hagan perder sus datos por acción de atacantes.

NOTA: Estas recomendaciones no son aplicables a PoliBlogs.

Las prácticas básicas para lograr una protección suficiente se implantan mediante los siguientes pasos, que desarrollamos posteriormente:

Mantener Wordpress actualizado.
Mantener los plugins y temas actualizados, verificando también si el desarrollador continúa manteniéndolos. Se pueden activar las actualizaciones automáticas.
Utilizar la versión de PHP más actualizada y, por tanto, más segura. Esta opción se puede modificar desde el panel de control de Plesk.
En el entorno Plesk, realizar un testeo de seguridad de Wordpress y aplicar las medidas sugeridas.
Utilizar certificados SSL para asegurar la comunicación con nuestro sitio.
Utilización de contraseñas complejas de usuario, tanto de usuarios administradores como editores y colaboradores, dado que los atacantes pueden lanzar la publicación de entradas no deseadas.
También es recomendable no utilizar el nombre de usuario «admin», para evitar los ataques más simples.
Limitar el número de conexiones de usuario fallidas para evitar ataques de fuerza bruta.
Proteger la página web de acceso al escritorio de Wordpress. Se puede asegurar utilizando varias prácticas que se pueden implantar juntas para lograr una mayor seguridad.
Realizar copias periódicas de seguridad del sitio y almacenarlas en lugar seguro.
Bloquear las publicaciones desde aplicaciones de dispositivos móviles, prefiriendo la publicación desde el panel Wordpress del sitio.
Uso de cortafuegos para limitar el número de interacciones del usuario sobre nuestro sitio. Un atacante puede lanzar un ataque DoS que imposibilitaría el acceso a nuestro sitio.

Implantación de las medidas de securización

1 y 2. Tanto la actualización de Wordpress, como de los plugins y temas, vienen indicadas mediante globos en el menú del escritorio de Wordpress, de manera que nada más debemos acceder pinchando sobre esa opción de menú, apareciendo la siguiente pantalla:

FAQS GREGAL > Securización de sitios web de Wordpress desde Plesk > Act_WP.png

NOTA: Se pueden activar las actualizaciones automáticas de los plugins de Wordpress, pero teniendo en cuenta que podría no ser compatible con nuestra configuración.

2. Para utilizar la última versión de PHP debemosacceder al panel de gestión de nuestro servicio de hosting. En el caso de la UPV, debemos acceder a nuestro panel de gestión Plesk y seleccionar la siguiente opción:

FAQS GREGAL > Securización de sitios web de Wordpress desde Plesk > PHP_WP.png

Una vez seleccionada, se nos muestra la siguiente pantalla, donde podemos seleccionar la opción deseada y guardar los cambios (si es posible, la versión más actualizada):

FAQS GREGAL > Securización de sitios web de Wordpress desde Plesk > PHP_WP2.png

4. Para realizar un testeo de seguridad de nuestro sitio Wordpress, debemos acceder al panel de Plesk y seleccionar la opción marcada:

FAQS GREGAL > Securización de sitios web de Wordpress desde Plesk > CHECK_SEC.png

Nos aparecerá la siguiente ventana. Una vez seleccionadas las opciones que queramos activar, pinchamos sobre el botón «Secure».

FAQS GREGAL > Securización de sitios web de Wordpress desde Plesk > SECURE_WP.png

5. Para evitar la captura de datos de nuestro sitio web, debemos utilizar un certificado SSL válido. El panel de Plesk nos permite obtener un certificado Let's Encrypt. Podemos acceder a la siguiente dirección:

Instalación de certificado SSL en el panel de control de Plesk

8. Para limitar el número de intentos fallidos de acceso de acceso al escritorio de Wordpress se pueden utilizar diversos plugins. Nuestra recomendación son las siguientes, pero se puede utilizar cualquier plugin de seguridad:

Limit Login Attempts.
WPS Limity Login.

9. Podemos proteger la página de acceso al escritorio de Wordpress utilizando plugins que implanten Google Authenticator o preguntas de usuario.

10. Las copias de seguridad se pueden implantar con el uso de plugins que implementen dicha funcionalidad, siendo destacables:

All-in-One Wp Migration.
UpdraftPlus WordPress Backup Plugin

NOTA: En en panel de Plesk también disponemos de una opción de copia de seguridad que comentamos en la siguiente página Backups de Plesk

11. El bloqueo de aplicaciones de dispositivos móviles se realiza habitualmente mediante la utilización de plugins que bloqueen XML-RPC. Destacamos el siguiente plugin:

Disable XML-RPC
Security Ninja - Security Scanner
Ninja Scanner

12. Como cortafuegos destacamos los siguientes, con otras opciones atractivas en materia de seguridad:

Wordfence
Ninja Firewall

Otras opciones de seguridad

(en edición)