Guía de seguridad y refuerzo de WordPress

Primero, definamos WordPress para las medidas de seguridad de WordPress. WordPress es un sistema de gestión de contenidos (CMS) que le permite producir y gestionar todo tipo de contenidos sin ningún conocimiento de codificación. Después de algunos pasos de instalación, podrá implementar fácilmente su sitio web con una infraestructura de administración de contenido. Todo lo que necesitas es un dominio y hosting con soporte PHP y MySQL.

WordPress es una de las estructuras CMS de código abierto más preferidas del mundo. Según estadísticas recientes, 30% de los sitios web en todo el mundo están construidos en la plataforma WordPress. Puede ver que corporaciones globales, instituciones gubernamentales, periódicos y muchas empresas similares prefieren la plataforma WordPress.

Medidas de seguridad de WordPress Este sistema ha logrado un gran éxito y popularidad. Sin embargo, uno de los factores que acompaña a su popularidad es atraer la atención de los ciberatacantes. Los ciberatacantes suelen seguir sistemas populares, especialmente sistemas de código abierto. Es un hecho inevitable que algunos de los ciberataques se dirijan a este sistema de gestión CMS, ya que un tercio de los sitios web en todo el mundo tienen una infraestructura de WordPress.

En este artículo, analizaremos las medidas de seguridad que se deben tomar después de la instalación de WordPress. Al tomar estas medidas de seguridad y reforzar los pasos, habrá tomado las medidas necesarias para proteger su infraestructura de WordPress contra los ciberatacantes.

Nota: Esta guía está escrita basándose únicamente en el sistema de gestión de WordPress. Los problemas relacionados con el alojamiento, los problemas de la computadora personal y otras fuentes similares no se incluyen en este artículo.

Guía de seguridad y refuerzo de WordPress

Después de la instalación de WordPress, puede hacer que su sistema sea seguro y anticiparse a los ataques cibernéticos tomando las medidas de seguridad que se describen a continuación.

Si tiene una infraestructura de WordPress, debe tomar este tema en serio y tomar sus medidas de seguridad básicas contra los ciberataques en constante evolución y cambios. De lo contrario, puede convertirse en el objetivo de ciberatacantes o su sistema de gestión de contenidos y sus datos pueden verse comprometidos.

La seguridad es un proceso y debe gestionarse correctamente. Es importante recordar que la seguridad no se puede garantizar 100% y administrar este proceso puede reducir su nivel de riesgo.

Proteger su computadora personal o de su empresa, sus comportamientos en línea y sus operaciones internas es uno de los primeros pasos a seguir para proteger su infraestructura de WordPress.

La seguridad consta de tres áreas principales: Personas, Procesos y Tecnología.

Cada uno de estos debe estar en armonía sincronizada entre sí. La vulnerabilidad en un área puede afectar a todo el sistema. Por lo tanto, al considerar la seguridad de WordPress, no debe pasar por alto sus errores personales, las vulnerabilidades en el alojamiento y sistemas de alojamiento similares, los procesos y el desarrollo de la tecnología.

¿Cómo garantizar la seguridad de WordPress?

A continuación se detallan los controles de seguridad de WordPress y las medidas de seguridad que debe tomar. Al tomar estas medidas, puede hacer que su sistema sea seguro y reforzar la seguridad.

Restricción de acceso a los controles de seguridad generales de WordPress: Puedes fortalecer tu seguridad minimizando la cantidad de cuentas con acceso a tu sitio de WordPress y ajustando correctamente los permisos de quienes accederán a él. Recuerde que tener múltiples privilegios de "Administrador" en un sistema aumentará sus vulnerabilidades.

Complementos y temas: Elimine todos los complementos y temas no utilizados en su sitio de WordPress. Estos ayudan a mantener la privacidad, la usabilidad y la integridad con al menos principios de privilegio. De esta manera, no te verás afectado por las vulnerabilidades que puedan surgir en temas o complementos no utilizados.

Aislamiento: Debe configurar su sistema para minimizar la cantidad de daño que puede ocurrir si su sistema se ve comprometido. Si es posible, evite tener varios sitios web diferentes en una sola cuenta de hosting. Si hay varios sitios web alojados en un alojamiento, tenga en cuenta que todo el sistema se verá afectado por las vulnerabilidades de otros sitios.

Copia de seguridad segura: Aloje copias de seguridad verificadas en ubicaciones seguras. Verifique periódicamente la integridad de las copias de seguridad para asegurarse de que pueda restaurar su sitio web si está dañado. Después de ciberataques que podrían comprometer la seguridad de tu sitio web, debes contar con un plan de recuperación de emergencia.

No olvides las actualizaciones: Haga todo lo posible para mantenerse actualizado con su instalación de WordPress, incluidos complementos y temas. Debe realizar actualizaciones de los temas y complementos instalados en su sitio. Al mismo tiempo, le recomendamos que realice actualizaciones de la versión de WordPress sin demora.

Actualizaciones de seguridad: Las vulnerabilidades de seguridad son una preocupación que afecta a todo el software. Una vulnerabilidad se puede identificar y explotar en cualquier sistema. Esto puede afectar no sólo a todo el software y hardware sino también al sistema de gestión de contenidos de WordPress. 

Utilice fuentes confiables: ¡No instale, descargue ni utilice complementos/temas de fuentes no confiables! Si desea instalar un complemento, asegúrese de cargarlo en su sistema a través de WordPress.org. Manténgase alejado de complementos y temas distribuidos por sitios web de terceros. Especialmente en los sitios ilegales que distribuyen temas o complementos pagos de forma gratuita, existen importantes vulnerabilidades, virus o piratas informáticos maliciosos. Recuerde que estos sitios ilegales que distribuyen temas o complementos de forma gratuita pueden piratear su sistema insertando código malicioso en sus temas o complementos.

Pasos de seguridad posteriores a la instalación de WordPress

Después de completar la instalación de WordPress, puede realizar el refuerzo posterior a la instalación siguiendo las pautas a continuación.

Asegurando wp-config.php

El archivo más importante en la infraestructura de WordPress es el archivo wp-config.php. Al realizar algunos ajustes en este archivo, puede mejorar la seguridad del sistema. Primero, necesitamos verificar la seguridad del archivo wp-config.php.

Para proteger el archivo wp-config.php en servidores Apache, agregue el siguiente código al contenido del archivo .htaccess. Con este código, el contenido del archivo wp-config.php no se puede llamar desde el exterior y se deshabilitará el acceso desde el exterior.

<files wp-config.php>
orden permitir, negar
Negar todo
</files>

Además, mover el archivo wp-config.php fuera de la carpeta HTML usando diferentes complementos proporcionará un valor de seguridad adicional. Este archivo es el archivo más importante en los registros de WordPress. El wp-config.php contiene la información necesaria para la conexión a la base de datos.

Cifrando el archivo wp-config.php

Otra forma de restringir el acceso a otro archivo wp-config.php es cifrar su contenido. Puede utilizar ionCube, Zend Guard o la herramienta más sencilla y gratuita disponible en phpr.org para cifrar. De esta manera, sólo aquellos con acceso a los datos cifrados podrán verlos, manteniendo confidencial la información de conexión a su base de datos.

Cambiar la ubicación del archivo wp-config.php

Debido a que el archivo wp-config.php es crucial, no podemos confiar únicamente en el cifrado. Los métodos de cifrado pueden eventualmente ser descifrados por atacantes profesionales. Si cambiamos la ubicación del archivo wp-config.php daremos otro paso importante en cuanto a control de acceso se refiere.

Podemos cambiar el directorio donde se encuentra el archivo wp-config.php o directamente cambiar el nombre del archivo. Para hacer esto, necesitamos abrir el archivo wp-load.php en el directorio raíz de nuestro sitio y cambiar los lugares donde está escrito wp-config.php según el nombre de nuestra carpeta.

Nota: Puede utilizar complementos que hagan que estas configuraciones sean permanentes, ya que volverán a sus configuraciones anteriores después de cada actualización.

Bloquear el acceso al archivo wp-load.php

Otro paso para proteger WordPress es bloquear el acceso al archivo wp-load.php. Al igual que bloqueamos el acceso al archivo wp-config.php desde el exterior usando el archivo .htaccess, podemos restringir el acceso al archivo wp-load.php para posibles accesos no autorizados.

<files wp-load.php>
orden permitir, negar
Negar todo
</files>

Proteger el directorio de complementos de WordPress

También pueden surgir vulnerabilidades en los complementos que utiliza en su sistema WordPress. Los atacantes pueden obtener acceso no autorizado a su sistema explotando las vulnerabilidades de estos complementos. Por lo tanto, debemos tomar medidas de seguridad también para la carpeta “Plugins” de WordPress. En circunstancias normales, el contenido de este directorio no debería aparecer al acceder a él. Sin embargo, en algunas versiones o debido a un error del usuario, este directorio puede estar abierto y las carpetas que contiene pueden aparecer en la lista. De esta forma, los atacantes pueden obtener información sobre los complementos instalados en el sistema. Si desea evitar que personas externas vean sus complementos, puede crear un archivo vacío llamado index.html en esta carpeta para evitar la lista de directorios.

Nota: En las versiones actualizadas de WordPress, hay un archivo index.php vacío predeterminado.

Bloquear el acceso al archivo .htaccess de WordPress

El archivo .htaccess es muy importante para WordPress en servidores Apache. Este archivo suele contener el contenido de redirección estándar de WordPress. Por otro lado, como se mencionó anteriormente, también puede usarse para bloquear el acceso no autorizado. Si agregamos el siguiente código a nuestro archivo .htaccess, garantizamos la seguridad de nuestro archivo .htaccess:

orden permitir, negar negar de todos

Desactivar el modo de depuración de WordPress

Puede evitar posibles vulnerabilidades desactivando los mensajes de error de WordPress. Puede desactivar el modo de depuración agregando el siguiente código al archivo wp-config.php. El modo de depuración se utiliza para ver posibles errores de WordPress y los desarrolladores suelen activar este modo para investigar errores en el sistema. Puede desactivar el modo cambiando el valor "falso" en el código o cambiándolo a "verdadero" para reactivar el modo de depuración.

definir( 'WP_DEBUG', FALSO );

Forzar a WordPress a la publicación SSL

Recomendamos que su sitio de WordPress se publique a través de SSL. Para publicar a través de SSL, debe tener un certificado SSL. Los certificados SSL se pueden vender por una tarifa o estar disponibles en versiones gratuitas. Puede obtener un certificado SSL gratuito utilizando Let's Encrypt o Cloudflare. Tener su sitio publicado a través de SSL tendrá un impacto positivo en Google y también será un paso importante contra los atacantes. Después de configurar la publicación SSL para su sitio, puede forzar SSL agregando el siguiente código al archivo wp-config.php:

definir('FUERZA_ADMINISTRATIVA_SSL', verdadero);

Habilitar las actualizaciones automáticas de WordPress

A medida que surgen vulnerabilidades en otro software, también surgen en WordPress, y estas vulnerabilidades detectadas continuamente por el equipo de WordPress se corrigen mediante actualizaciones. Puede realizar estas actualizaciones de forma manual o automática agregando el siguiente código a su archivo wp-config.php:

definir('ACTUALIZACIÓN AUTOMÁTICA DEL NÚCLEO DE WP', verdadero);

Definición de la carpeta temporal de WordPress

Al igual que en las actualizaciones de WordPress, las operaciones también se realizan en una carpeta TEMP para actualizaciones de complementos y temas. Esta carpeta debe poder escribirse. Puede asegurarse de que las actualizaciones se completen correctamente agregando el siguiente código a su archivo wp-config.php, especificando el directorio de carga. El código debe indicar el directorio de carga y la ruta del archivo debe especificarse exactamente. El siguiente código es la ruta predeterminada de la carpeta de carga de WordPress en el sistema operativo CentOS:

definir('Directorio temporal WP_TEMP','/var/www/html/wp-content/uploads/');

En algunos casos, durante las actualizaciones de complementos y temas, es posible que los archivos de WordPress no se obtengan correctamente o produzcan errores. Puede asegurarse de que las actualizaciones con errores se realicen correctamente agregando el siguiente código a su archivo wp-config.php:

Deshabilitar tareas programadas

Una de las características de WordPress son las tareas programadas. Sin embargo, las tareas programadas pueden sobrecargar su sistema en algunos casos. Por otro lado, cuando los atacantes se infiltran en su sistema, pueden usar la función CRON de WordPress para permanecer persistentes. Puede detener las tareas programadas de WordPress agregando el siguiente código a su archivo wp-config.php:

definir('DESHABILITAR_WP_CRON', verdadero);

Deshabilitar el editor de edición de archivos

Puede administrar archivos de temas utilizando el editor de código en el panel de administración de WordPress. Sin embargo, esta característica puede suponer una vulnerabilidad. Especialmente, hemos visto casos en los que los atacantes inyectan código malicioso en sus archivos de temas a través de una vulnerabilidad en su sistema. Puede desactivar la función de edición de archivos de temas de WordPress agregando el siguiente código a su archivo wp-config.php. Esto mejorará aún más su seguridad:

definir('NO PERMITIR EDITAR ARCHIVOS', verdadero);

Cambiar claves de autenticación únicas

Las claves de autenticación únicas de WordPress son un conjunto de variables aleatorias que mejoran el cifrado de la información almacenada en las cookies del usuario. Después de la instalación, se crean un total de cuatro claves de seguridad:

AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY y NONCE_KEY.

Las claves de autenticación de WordPress se utilizan para cifrar permisos en WordPress, lo que contribuye a la seguridad de su sitio web y lo hace más difícil de descifrar. Estas claves afectan a varios aspectos, desde el cifrado de cookies hasta las claves de seguridad utilizadas como “Nonces” para operaciones AJAX. En una instalación estándar, los encontrará de la siguiente manera:

definir('CLAVE DE AUTENTICACIÓN', 'Coloca tu conjunto de caracteres únicos aquí');
definir('CLAVE DE AUTENTICACIÓN SEGURA', 'Coloca tu conjunto de caracteres únicos aquí');
definir('CLAVE_INICIADA_SESIÓN', 'Coloca tu conjunto de caracteres únicos aquí');
definir('CLAVE NO ÚNICA', 'Coloca tu conjunto de caracteres únicos aquí');
definir('SAL_AUTORIZACIÓN', 'Coloca tu conjunto de caracteres únicos aquí');
definir('SAL DE AUTENTICACIÓN SEGURA', 'Coloca tu conjunto de caracteres únicos aquí');
definir('INICIÓ SESIÓN EN SALT', 'Coloca tu conjunto de caracteres únicos aquí');
definir('SAL NUNCA', 'Coloca tu conjunto de caracteres únicos aquí');

Configuración de permisos de directorios y archivos de WordPress

El esquema de permisos predeterminado para WordPress debería ser el siguiente:

Carpetas – 750 / Archivos – 640

Puede hacer que su sitio sea seguro otorgando 750 permisos para sus carpetas y 640 permisos para sus archivos. Puede utilizar FileZilla o una herramienta FTP similar para este ajuste, o es posible que deba comunicarse con su proveedor de alojamiento. Antes de realizar cambios en los permisos, se recomienda hablar con su proveedor de alojamiento, ya que puede afectar negativamente el rendimiento y la usabilidad de su sitio. Además, asegúrese de que ningún archivo o directorio tenga permisos 777, ya que crea una vulnerabilidad.

Asegure la carpeta de carga

Debe proteger la carpeta de carga de WordPress, donde se cargan imágenes y otros archivos, contra posibles vulnerabilidades, como la ejecución de archivos ejecutables (por ejemplo, scripts de Shell). Los atacantes pueden aprovechar las vulnerabilidades que encuentren en su sistema para cargar archivos maliciosos en el directorio de cargas y obtener acceso al Shell. Para evitar esto, debe crear un archivo .htaccess dentro del directorio /wp-content/uploads/ y agregar el siguiente código al archivo /wp-content/uploads/.htaccess. Esto evitará que los atacantes descarguen y ejecuten archivos maliciosos en su carpeta de carga.

# Eliminar la ejecución de PHP negar de todo

Política de cuentas de usuario

Durante la instalación de WordPress, se agrega una cuenta de administrador. Si completó la instalación de WordPress de forma predeterminada, habrá creado una cuenta de administrador. Sin embargo, recomendamos cambiar el nombre de usuario de esta cuenta para protegerla contra ataques de fuerza bruta. Además, tener varias cuentas de administrador aumenta las vulnerabilidades. Recomendamos utilizar una única cuenta de administrador y asignar roles de editor, autor o usuario a otros usuarios de su sistema. Los usuarios suelen utilizar sus nombres como nombres de usuario, lo que puede ser predecible y crear vulnerabilidades. Por lo tanto, desaconsejamos a los usuarios o administradores que utilicen dichos nombres de usuario.

Contraseñas e información de usuario

WordPress aplica una política predeterminada para contraseñas complejas a los usuarios que usted crea. Sin embargo, algunos usuarios pueden crear contraseñas predecibles y poco confiables, como “12345678”. Recomendamos instar a los usuarios a crear contraseñas complejas para proteger sus cuentas. De lo contrario, existe una alta probabilidad de que los atacantes adivinen estas contraseñas y obtengan acceso a su sistema. Además, cambiar periódicamente las contraseñas es importante por motivos de seguridad.

Prevención de ataques de pingback de WordPress

Los atacantes pueden abusar de la función Pingback de WordPress para crear una carga excesiva en su sistema y puede usarse en ataques de denegación de servicio distribuido (DDOS). Para evitar esto, recomendamos desactivar la función Pingback de WordPress si no la estás utilizando. Puede desactivar la función Pingback agregando el siguiente código en un lugar apropiado en el archivo funciones.php de su tema.

// Deshabilitar Pingback función eliminar_x_pingback(1TP4Líderes) { desarmado(1TP4Líderes['Retroenlace X']); devolver 1TP4Líderes; } Agregar filtro('encabezados_wp', 'eliminar_x_pingback');

Deshabilitar el acceso XML-RPC de WordPress

El archivo XML-RPC de WordPress ha sido explotado varias veces en el pasado. Los atacantes suelen aprovechar dos vulnerabilidades importantes en este archivo. En primer lugar, se utiliza en ataques de fuerza bruta para obtener acceso no autorizado a su sitio intentando combinaciones de nombre de usuario y contraseña. En segundo lugar, los atacantes pueden utilizar el archivo XML-RPC para lanzar ataques de denegación de servicio (DDOS) en su sistema.

Para protegerse contra estos ataques, recomendamos agregar el siguiente código al archivo funciones.php de su tema para deshabilitar la función XML-RPC.

// Deshabilitar XML-RPC Agregar filtro('xmlrpc_habilitado', '__devuelve_falso');

También puede desactivar el acceso XML-RPC a través de .htaccess. Agregue el siguiente código a su archivo .htaccess en el directorio raíz, reemplazando “123.123.123.123” con su dirección IP real para permitir el acceso solo desde esa IP.

# Bloquear WordPress xmlrpc.php
<Files xmlrpc.php>
orden denegar, permitir
Negar todo
permitir desde 123.123.123.123
</Files>

Deshabilitar la función API REST de WordPress

Si no está utilizando la función REST API introducida en WordPress 4.4, le recomendamos deshabilitarla para evitar posibles abusos por parte de actores malintencionados, lo que provocaría una sobrecarga del sistema y posibles interrupciones del servicio. Para deshabilitar la función REST API, agregue el siguiente código al archivo funciones.php de su tema.

// Deshabilitar API REST
Agregar filtro( 'json_habilitado', '__devuelve_falso' );
Agregar filtro( 'json_jsonp_habilitado', '__devuelve_falso' );
Agregar filtro( 'descanso habilitado', '__devuelve_falso' );
Agregar filtro( 'rest_jsonp_habilitado', '__devuelve_falso' );

Preste atención al bloque de código para eliminar la información de "información" de las solicitudes, evitando que los atacantes recopilen información.