Seguridad en WordPress y algunos consejos para la instalación

Seguridad en WordPress y algunos consejos para la instalación

 

header-wordpress-security

 

En este artículo podrás encontrar algunos consejos básicos de seguridad. Hablaré también de algunos de los ataques más comunes cuando hablamos de WordPress. Y para terminar daré unas recomendaciones a la hora de instalar WordPress con el fin de conseguir una instalación algo más segura.

 

WordPress, seguridad básica

La elección de usuario y contraseña

Este primer punto probablemente és muy evidente para la mayoría, pero aún así hay que mencionarlo. Hoy en día todavía encontramos muchísimos usuarios que escogen “admin” como nombre de usuario y contraseñas como “1234” o la misma que el nombre de usuario “admin”. Parece sorprendente pero ocurre más de lo que nos imaginamos.

Por lo tanto he de insistir en este punto, nunca se debería escoger como nombre de usuario “admin” y se debería utilizar contraseñas largas, no legibles, con caracteres  especiales ($,#,?,^), es más, recomiendo incluir algún carácter especial en el nombre de usuario como un @ o #. Lo mejor es utilizar un gestor de contraseñas que genere la contraseña por ti.

También es importante no usar la misma contraseña en varios sitios, utiliza una diferente para cada sitio web. Existen numerosas aplicaciones que te ayudarán para guardar y gestionar tus contraseñas de manera muy sencilla como KeePass, LastPass, 1Password

 

Actualizaciones

Es muy importante mantener las actualizaciones al día. Tener siempre la última versión tanto de WordPress como de los plugins y themes. Las pequeñas actualizaciones que van surgiendo entre versiones más importantes con cambios mayores suelen llevar parches para arreglar fallos de seguridad. Si no mantienes tu sitio web al día te verás expuesto a vulnerabilidades a través de las cuales te puedes convertir en una víctima de ataques como los que comentaré más adelante en este artículo.

 

Permisos de archivos

Existen muchos casos en los que un usuario no consigue instalar un plugin por algún motivo y encuentra una solución en internet del tipo “cambia los permisos de tus archivos a 777”, probablemente consiga instalar su plugin después de hacer esto, pero esta dejando una puerta abierta de par en par. Con permisos 777 cualquiera puede leer y escribir en ese archivo o carpeta. El consejo aquí es que no cambies los permisos de los archivos, esa no es la buena solución a los problemas que puedas encontrar durante la instalación de algún plugin.

La elección del servidor

No voy a entrar en detalle  sobre este punto ya que es bastante extenso y podríamos escribir otro artículo sobre como elegir un servidor, pero simplemente tener en cuenta que la elección del servidor es muy importante para la seguridad de nuestro sitio web. No hay que elegir un servidor sólo en función del coste, debemos de tener en cuenta los aspectos técnicos del mismo.

Ataques más comunes en WordPress

Para entender un poco más la importancia de la seguridad de nuestro sitio web os hablaré por encima de algunos de los ataques más comunes cuando hablamos de WordPress.

hackers ataque

Ataques de fuerza bruta

Se trata de recuperar una contraseña probando todas las combinaciones posibles hasta dar con la clave que permite el acceso. Es muy fácil obtener los nombres de usuario, y sólo haría falta encontrar la contraseña, de ahí la insistencia en utilizar contraseñas fuertes, largas y con caracteres especiales.

Los ataques de fuerza bruta también se realizan probando las contraseñas más utilizadas por los usuarios en lugar de combinaciones.

SQL Injections

Se trata de una infiltración de código intruso. En todo sitio web, cada vez que creamos un post, una página, editamos, eliminamos, nos identificamos, etc, se establece una comunicación con la base de datos. Dicha comunicación se realiza a través de un leguaje llamado SQL. Si existe alguna vulnerabilidad a nivel de validación de las entradas el hacker podrá acceder a nuestra base de datos y hacer lo que quiera con ella, leer los datos, insertar, eliminar… Este tipo de inyecciones son muy peligrosas ya que afectan directamente al servidor.

Cross Site Scripting (Secuencias de comandos en sitios cruzados)

Este es un ataque al lado cliente en lugar del servidor, permite al hacker inyectar y ejecutar código javascript en las páginas visitadas por el usuario.
Se utiliza por ejemplo para robar la cookie de sesión y de ese modo poder identificarse como el usuario.

Cross Site Request Forgery (falsificación de petición en sitios cruzados)

Se trata de la ejecución de acciones no autorizadas y transmitidas por un usuario de confianza que ha sido validado por la web.
El hacker usa a la propia víctima para realizar la acción dañina.

Existen otros muchos tipos de ataques pero podemos decir que estos son los más habituales.

Algunas recomendaciones para la instalar WordPress

Existen unos puntos básicos para ayudar a que nuestra instalación sea más segura, esto no quiere decir que estemos completamente protegidos de cualquier ataque, pero cada pequeño obstáculo que ponemos servirá para hacerlo un poco más difícil al hacker.

Antes de la instalación

Lo primero que recomiendo es cambiar el prefijo de las tablas, por defecto el valor es ‘wp_’, sería mejor cambiarlo por algo más complicado como por ejemplo una contraseña aleatoria. Este valor se modifica en el archivo wp-config.php. Donde pone $table_prefix  = ‘wp_’; cambiarlo por algo como $table_prefix  = ‘gju6ik69_’; También desabilitar el editor de plugins y themes añadiendo la siguiente línea en el mismo archivo wp-config.php

define(‘DISALLOW_FILE_EDIT’, true );

 

Y en mismo wp-config.php, existen unas líneas para la encriptación de las cookies. No olvides cambiar los valores que vienen por defecto:

define(‘AUTH_KEY’,  ‘put your unique phrase here’);
define(‘SECURE_AUTH_KEY’,  ‘put your unique phrase here’);
define(‘LOGGED_IN_KEY’,  ‘put your unique phrase here’);
define(‘NONCE_KEY’,  ‘put your unique phrase here’);
define(‘AUTH_SALT’,   ‘put your unique phrase here’);
define(‘SECURE_AUTH_SALT’, ‘put your unique phrase here’);
define(‘LOGGED_IN_SALT’,  ‘put your unique phrase here’);
define(‘NONCE_SALT’,  ‘put your unique phrase here’);

Puedes generar el código desde este enlace https://api.wordpress.org/secret-key/1.1/salt/ y pegarlo en tu archivo. Puedes cambiar estos valores en cualquier momento, al cambiarlos obligarás a los usuarios a volver a identificarse.

Estos serían puntos básicos, también puedes ir más allá y cambiar el nombre de las tablas de usuarios, el nombre de la carpeta wp-content, y añadir unas líneas en el htaccess para proteger el archivo wp-config.php (de esto último también se puede encargar algún plugin de seguridad).

desarrollo-wordpressDespués de la instalación

Backups

Antes de nada, lo más importante sería instalar un sistema de backups, es muy importante tener copias de seguridad de tu web. También es conveniente probar tu sistema de backup, hacer al menos una restauración de la web con el último backup realizado y estar seguro de que todo funciona correctamente, ya que si nuestro plugin para hacer copias de seguridad no funciona como debe es como si no tuviéramos nada.

Eliminar contenido de ejemplo, plugins y themes

Elimina el contenido de ejemplo, y tanto si es después de la primera instalación como si es más adelante siempre elimina los themes y plugins que no utilices.

No sirve de nada tener plugins o themes desactivados, pero si existe alguna vulnerabilidad en alguno de ellos, el código está ahí igualmente, así que elimina lo que no estés usando.

Plugin de seguridad

Existen muchos plugins de seguridad, algunos mejores que otros.

Encontrarás cientos de opiniones y recomendaciones,  WordfenceAll In One WP Security & FirewalliThemes Security  y muchos otros, pero no puedo nombrarlos todos.

La elección sobre que plugin de seguridad a instalar la dejo en manos de cada uno. Ningún plugin es perfecto, pero personalmente me inclino hacia iThemes Security, habrá gente que esté en desacuerdo con esta elección, a día de de hoy es el que mejor resultado me ha dado, pero repito, existen muchos y no los he probado todos.

Con iThemes Security por ejemplo, existen muchas opciones a configurar. El propio plugin te dará recomendaciones sobre lo que deberías hacer para aumentar la seguridad de tu sitio web. Entre otros muchos, estos son algunos puntos:

  • Cambiar la url de acceso a la página de login.
  • Cambiar el ID del usuario administrador. Por defecto es 1.
  • Bloquear automáticamente los usuarios que intentan identificarse con el nombre de usuario “admin”.
  • No permitir PHP en la carpeta Uploads.

 

Se pueden hacer muchas más cosas a la hora de instalar un WordPress pero puedes empezar con estos consejos básicos.

Espero que este artículo te sirva de ayuda, si tienes alguna recomendación más para añadir a esta lista no dudes en dejar un comentario.

 

Imágenes | Adam Wills, Powtac, Nikolay Bachiyski, Terri Oda

En Digiworks |  WordPress 4.1 lo que está por llegar, Lo más trendy en Diseño Web para 2015, La importancia del color en el diseño

Plugins Gratuitos para WordPress, dónde buscar y cómo elegir

Plugins Gratuitos para WordPress, dónde buscar y cómo elegir

En la actualidad existen más de 35.000 plugins, únicamente en el repositorio de wordpress.org, más los cientos de miles que no están en este repositorio, por lo que buscar el plugin adecuado con esa funcionalidad específica que necesitas para tu sitio web puede costarte bastantes horas de tu tiempo, sobre todo si estas empezando en el mundo WordPress.

Normalmente tendemos a pensar que Gratis no puede ser bueno, debe haber alguna letra pequeña que no hemos visto, y suele ser así, pero en el mundo de WordPress no, existen plugins gratuitos y versiones gratuitas de plugins de pago, además de los plugins que son únicamente de pago, pero en este artículo me centraré en los gratuitos.

Dentro de esta gran variedad de plugins podemos encontrar los que aportan alguna pequeña funcionalidad a nuestra web, normalmente creados por programadores que desarrollan en su tiempo libre, cada uno tendrá sus razones, pero la razón principal es la de contribuir a la comunidad.

También encontraremos plugins gratuitos más complejos que añaden o modifican completamente la funcionalidad y dirección de tu sitio web, como por ejemplo WooCommerce.

Y la pregunta es “¿y como puede una empresa o programador vivir de un plugin gratuito?” En este mismo ejemplo, en torno a WooCommerce existen cientos de extensiones de pago, otros plugins ganan dinero a través de soporte, y otros que generan sus ganancias a través de otro tipo de servicios.

 

¿Dónde buscar plugins gratuitos?

El lugar que recomiendo para encontrar plugins gratuitos es en el propio repositorio de wordpress.org. Todos los plugins que se envían a este repositorio son probados y verificados por un equipo de profesionales que realizan esta tarea voluntariamente.

Con esto no quiero decir que la calidad del código esté regulada, en algunos casos muy obvios sí que lo regularán pero me refiero más a la seguridad, que no exista código malicioso o incluso alguna vulnerabilidad muy evidente.

Personalmente no me fiaría mucho de cualquier plugin gratuito que no se encuentre disponible en este repositorio. Y es más, si encuentras un plugin gratuito en la web del programador y que también esta disponible en el repositorio de wordpress.org te recomiendo que instales siempre la version que hay en wordpress.org.

 

¿Cómo elegir un plugin gratuito?

Como ya he dicho antes existen más de 35.000 plugins en el repositorio de wordpress.org, pero entre tanto plugin existen muchísimos en los que aparece un mensaje de alerta informando que el plugin lleva 2 años o más sin haber sido actualizado.

En efecto, existen plugins que con este mensaje funcionan igualmente porque tal vez no requieren de una actualización en el código, pero igualmente trata de buscar otro plugin similar que tenga algo más de actividad, porque a pesar de no necesitar una actualización en el código, el programador puede actualizar el plugin simplemente para decir que es compatible con la última versión del WordPress, y si esto no ha pasado probablemente es porque el plugin esta abandonado, tanto para actualizaciones como para obtener algún tipo de soporte.

Mira la compatibilidad del plugin con la versión de WordPress, si tienes la versión 4.1 y el plugin es compatible hasta 4.0 seguramente no exista peligro, pero si pone que es compatible hasta 2.9 es muy probable que genere conflictos con WordPress o con otros plugins que tengas instalados.

Fíjate también en las valoraciones positivas y negativas del plugin, siempre en relación al número de descargas. No todo el mundo deja una valoración, y es más común que un usuario se moleste en poner una valoración cuando tiene algo negativo que decir que cuando es algo positivo.
Por lo que si encuentras un plugin que tiene 100 valoraciones positivas contra 20 negativas, puedes estar tranquilo y probarlo.

Echa un vistazo a la sección de soporte, mira la actividad del autor, si se resuelven las dudas o preguntas de los usuarios con frecuencia.

Y si no estas seguro con las valoraciones y con el soporte, pincha en el enlace del perfil del autor, mira que otros plugins tiene (si los tiene), la actividad, las descargas y valoraciones, te harás una idea de la reputación del programador.

Otra recomendación es que pruebes los plugins en algún sitio web que tengas instalado para hacer pruebas y nunca en tu sitio web final. Sólo hace falta que un plugin tenga un mínimo, pequeño e insignificante error de sintaxis para que tu web se convierta en esa temida pantalla blanca.

 

Conclusión

Cuando hablamos de plugins gratuitos siempre tener precaución, únicamente descargar desde los sitios de confianza, todos los desarrolladores con reputación y con experiencia saben que la mejor fuente de distribución para sus plugins es el repositorio de wordpress.org, así que es donde encontrarás lo mejor que puedes encontrar.

Dejaremos los plugins de pago para otro artículo, mientras tanto, si no encuentras lo que estas buscando no dudes en consultar con un profesional, te ayudará a ahorrar horas y horas de tu valioso tiempo.

 

Imágenes | WordPress.org

En Digiworks | Internet de las cosas ¿sabes qué es cómo nos afectará?

WordPress 4.1, lo que está por llegar

WordPress 4.1, lo que está por llegar

La versión 4.1 de WordPress ya está cerca, si todo va como previsto,  la versión final 4.1 estará disponible el 10 de diciembre, pero para los más ansiosos  desde hace ya algunos días la versión Beta 1 salió a la luz, y ya disponible podéis descargar la versión 4.1 Beta 2 .

 

 

tf8

¿Y que habrá de nuevo en 4.1 ?

Con esta versión llega el muy esperado theme Twenty Fifteen, con un diseño simple, minimalista, enfocado principalmente a contenido.

 

Otra de las novedades más habladas es el nuevo modo de editar contenido sin distracciones, esto quiere decir que el editor se pone en modo pantalla completa para que el usuario pueda concentrarse únicamente en el contenido a editar.

 

En cuanto el usuario empieza a escribir en el editor el resto de columnas, menús, cajas, etc desaparecen de la pantalla dejando únicamente al editor como protagonista absoluto. Solo con pulsar el tabulador o llevar el ratón fuera del editor todos los elementos volverán a su lugar.

 

 

 

Cambiar el idioma de tu sitio WordPress puedes hacerlo directamente yendo a Ajustes Generales. También se ha añadido una nueva barra de herramientas para las imágenes añadidas en el editor. Y estos son los cambios más notables visualmente.

language-selection

 

 

 

editor-full-sreen

Para los desarrolladores, se han añadido mejoras en las queries WP_Meta_Query, WP_Tax_Query, WP_Date_Query, WP_Comment_Query, entre otras muchas, para más información visita https://make.wordpress.org/core/tag/week-in-core/

 

Y la buena noticia para los desarrolladores de themes, se ha hablado sobre la eliminación de las opciones de Cabecera y Fondo que se encuentran bajo la sección de Apariencia, estas opciones estarán únicamente incluidas en la sección Apariencia -> Personalizar.

 

Son bastantes novedades las que vienen, así que si no te quieres perder nada y decides descargar la versión beta no olvides que es una versión en pruebas y que no es recomendable instalarla en una web que está viva en producción, es mejor crear una instalación de test y esperar a la versión final para actualizar tu web.

 

web-wordpress

En Digiworks | Mandrill, el Mailchimp para apps, Internet de las cosas ¿sabes qu´es y cómo nos afectará?