¿Acabas de crear tu sitio web o blog con WordPress (WP)?
Este CMS (sistema de gestión de contenidos), es fácil de instalar y administrar, sin duda estás muy satisfecho con él. ¿Pero te has planteado incorporar algún plugin? Precisamente son estas extensiones las que te permiten gestionar una web con mayor facilidad y sobre todo protegerla adecuadamente.
Desafortunadamente esto es algo necesario, nadie es inmune a los ataques. Como este CMS es muy popular, se encuentra entre los objetivos favoritos de los piratas informáticos. Esto ocurre, sobre todo, si tu sitio web tiene éxito, es decir, mucho tráfico, y recopila datos personales. Sin embargo, con la implementación del RGPD (Reglamento General de Protección de Datos), se ha vuelto obligatorio proteger las webs o blogs.
¿Has oído hablar de ataques de fuerza bruta? Esto implica forzar el acceso al área de administrador de tu CMS probando todas las combinaciones posibles para descubrir tu nombre de usuario y tu contraseña. Los hackers o robots usan diferentes métodos para descifrar un código o un texto sin tener una clave de descifrado. Estamos hablando de criptoanálisis. ¡Podemos volvernos locos por miedo a que la herramienta de trabajo a la que dedicamos muchas horas sea hackeada!
Es cierto que WordPress es una herramienta poderosa y segura, aunque tiene sus fallos. Las actualizaciones están disponibles periódicamente para corregirlos, sin embargo es absolutamente necesario tener una seguridad óptima con la ayuda y trucos adecuados. Esto te permitirá preservar mejor tus datos y los de tus usuarios.
Recordatorios para proteger un sitio web
Antes de instalar una o más extensiones para proteger tu web, hay algunos consejos seguros que debes conocer para prevenir mejor los ataques de fuerza bruta, como así también otros tipos de vulnerabilidades. Algunos son muy fáciles de configurar. Estos pocos recordatorios te permitirán familiarizarte con ellos y así podrás hacerte una idea de lo que necesitas en cuanto a extensiones.
Mover la página de autenticación
Para acceder a tu área de administrador, debes ir a la página de autenticación predeterminada ubicada en la dirección URL: misitioweb.es/wp-login.php o misitioweb.es/wp-admin. Aquí es donde se solicita tu nombre de usuario y tu contraseña.
El problema es que esta URL es fácilmente identificable y ¡ni siquiera necesitas un bot para ello! Para proteger tu página de inicio de sesión, se recomienda cambiar la URL de inicio de sesión y wp-admin o wp-login.php.
Modificar el inicio de sesión
Cuando instalas el WP CMS, el inicio de sesión por defecto es admin. Si queremos un código difícil de descifrar tenemos que buscar algo mejor. Por lo tanto, será necesario asegurarse de encontrar un identificador seguro un poco más original para evitar intrusiones.
Si mantienes un blog, evita elegir un nombre de usuario idéntico al nombre del autor de tus artículos, para no dar pistas a los piratas informáticos.
La elección de la contraseña, un paso esencial para la seguridad
Es cierto que elegir una buena contraseña requiere un poco de reflexión. Primero debes poder memorizarla fácilmente. Pero si es demasiado simple o demasiado corta, corres el riesgo de ser pirateado.
Evita, por tanto, elegir tu cumpleaños, el nombre de tu pareja o el de tus hijos. También, olvídate de combinaciones de números o letras clásicas como 123456 o qwerty. Ten en cuenta que los piratas informáticos también utilizan el diccionario para descubrir una contraseña. Esto es nada más y nada menos que probar todas las palabras del diccionario una tras otra hasta encontrar la combinación adecuada.
Por lo tanto, para elegir una contraseña segura, utiliza combinaciones de letras minúsculas y mayúsculas y usa números y símbolos. Se recomienda crear combinaciones de al menos 8 caracteres. Cuanto más larga y compleja sea la contraseña, menos probable será que ataques de fuerza bruta tengan éxito, como así también otro tipo de intentos de intrusión.
Ocultar errores de conexión
Probablemente hayas notado que cuando ingresas tu nombre de usuario o contraseña incorrectamente, aparece un mensaje de error en tu página de autenticación.
El problema es que este mensaje contiene tu ID, por lo que los piratas informáticos pueden captarla fácilmente. Por tanto, es necesario modificar este mensaje en el archivo functions.php, optando por algo más corriente, como Nombre de usuario incorrecto, por ejemplo.
Ocultar la versión de CMS
No solemos pensarlo, pero dejar visible la versión de CMS de WP da información a los hackers, que se saben bien las vulnerabilidades de seguridad de cada versión. Por lo tanto, asegúrate de que esta información esté oculta en el archivo functions.php de tu web.
Modificar el prefijo WP
Probablemente habrás notado que el prefijo WP se usa por defecto en las tablas de la base de datos MYSQL. Por lo tanto, es fácilmente identificable para los piratas informáticos y es particularmente vulnerable en caso de inyecciones de SQL. Es necesario desviar las solicitudes de tus acciones iniciales, por ejemplo, para recuperar inicios de sesión y contraseñas.
Cambiar el prefijo WP puede ser una operación bastante tediosa. Para no perder demasiado tiempo y evitar errores, puede ser más prudente pedir ayuda a tu proveedor de alojamiento web.
Desactivar el editor de archivos
Si los piratas informáticos logran descifrar tu nombre de usuario y contraseña, tendrán acceso libre a tu editor de archivos que permiten modificar scripts. Recuerda desactivar el editor de archivos de tu CMS y pasar por el acceso FTP para realizar tus propias modificaciones.
Elige un servidor eficiente
Para obtener la mayor ayuda posible de tu proveedor de alojamiento asegúrate de elegir uno que te ofrezca muchos servicios de protección. Por ejemplo, hay hosts que ofrecen un seguimiento diario de las principales vulnerabilidades del WP CMS. Te informarán rápidamente y te ofrecerán soluciones, como poner en cuarentena archivos sospechosos.
También es una buena idea elegir un servidor que configure copias de seguridad automáticas y una restauración de tu sitio web.
3 extensiones para ayudar a combatir los ataques de fuerza bruta
Aunque hay muchas extensiones creadas específicamente para proteger blogs y webs, algunas están optimizadas para combatir ataques de fuerza bruta.
WPScale ha creado 3 extensiones para ayudarte a luchar contra los piratas informáticos.
Los desarrolladores han puesto todo su talento en el diseño de extensiones gratuitas capaces de restringir el número intentos de identificación de tu contraseña y tu nombre de usuario. Ligeras y fáciles de usar, también te ayudan a configurar herramientas de optimización para proteger tu web o blog.
WPS Hide Login
Como señalamos anteriormente, la página de inicio de sesión predeterminada es un punto de entrada fácil para los piratas informáticos. WPScale ofrece la extensión WPS Hide Login para cambiar la URL de tu página de autenticación. Ten en cuenta que este movimiento no modifica tus archivos de ninguna manera.
La forma en que funciona WPS Hide Login hace posible interceptar solicitudes de páginas y dificulta la localización de tu página de acceso. Antes de instalarlo, asegúrate de que:
- Tu CMS tenga al menos la versión WP 4.1
- El lenguaje de programación es PHP 7 o superior
- Las otras extensiones que se conectan a tu página de autenticación (directorio de miembros, cuentas de usuario, limitación de conexión) son compatibles con WPS Hide Login
- El slug de tu nueva URL de inicio de sesión se agrega a la lista de páginas que no se almacenarán en caché si usas esta extensión.
Descarga WPS Hide Login o búscalo en el menú Extensiones> Agregar y luego instálalo. Para configurar la extensión, simplemente:
- Ve al menú General> Configuración general
- En el nivel de la URL de conexión introduce una URL personalizada en el modelo: htpps: // sitename.com/urldetueleccion (no pongas un espacio ni acento)
- En el nivel de URL de redireccionamiento, puedes hacer referencia a la página que elijas. Escribe, por ejemplo, 404.
Ten en cuenta que tu nueva URL personalizada será tu único punto de acceso para conectarte a tu web. Así que asegúrate de recordarlo. Si lo olvidas, no te preocupes, siempre tendrás la posibilidad de desactivar WPS Hide Login a través de tu FTP.
WPS Limit Login
Para proteger tu sitio web de intrusiones, es necesario limitar los intentos de conexión. La extensión WPS Limit Login te permitirá proteger tu página de autenticación de esta manera. Pero también ofrece otras funciones.
WPS Limit Login te informará de los intentos de acceso o del tiempo que queda antes del bloqueo de la página de autenticación. Ten en cuenta que esta extensión es compatible con Sucuri, funciona con la versión 4.2 de tu CMS de WP y la versión PHP 7.0 o superior.
Después de descargar y activar WPS Limit Login, ve al menú de tu CMS y luego a Configuración. Desde la pestaña Configuración, podrás configurar:
- El número de intentos que permites antes de bloquear la dirección IP
- La duración del bloqueo de la dirección IP después de un error en la conexión
- La cantidad de horas antes de restablecer los intentos de conexión
- La cantidad de bloqueos adicionales para aumentar el tiempo de bloqueo de la dirección IP
- El envío de un correo electrónico al administrador después de la cantidad de bloqueos de tu elección.
La pestaña Lista Blanca te permitirá indicar la lista de direcciones IP que no se verán afectadas por los límites de intentos de conexión. Por lo tanto, nunca se bloquearán.
La pestaña Lista Negra, por otro lado, te dará la posibilidad de informar todas las direcciones IP que deben bloquearse.
En ambas listas, asegúrate de ingresar solo una dirección IP por línea.
Desde la pestaña Blocking Log, tienes acceso a un contador de direcciones IP bloqueadas. Tienes la posibilidad de desbloquear todas las direcciones al mismo tiempo, o hacerlo una a una. También es posible reiniciar el contador.
WPS Bidouille
La extensión WPS Bidouille ofrece varias herramientas de optimización para facilitar la gestión de tu sitio y asegurarlo. También te proporcionará información sobre tu CMS y sus necesidades de actualización, configuración, limpieza , etc.
¡WPS Bidouille también te permitirá reparar tu base de datos! Ten en cuenta que algunas funciones son específicas del host de WPScale. Para proteger tu sitio contra varios ataques, como ataques de fuerza bruta, la extensión le ofrece lo siguiente:
- Ocultar mensajes de error en tu página de autenticación
- Eliminar tu versión de CMS
- Deshabilitar el enlace permanente de inicio de sesión predeterminado para una página de autor.
Descarga WPS Bidouille. Es compatible desde la versión 4.2 y es fácil de instalar. Ve a Configuración para configurar los ajustes de la extensión donde aparecen 4 pestañas.
El Centro de Notificaciones te permitirá ver toda la información relacionada con tu CMS:
- Actualización de la versión de WP
- Actualizaciones de extensiones
- Actualizaciones de temas
- Marcar extensiones inactivas
- Marcar temas inactivos
- Actualizaciones de traducción
- Asegurar el prefijo
- Ajustes de la configuración.
Desde el Centro de Notificaciones, puedes acceder a información del servidor, informe del sistema, informe MYSQL, cuenta de WPScale y optimización.
Las pestañas Excluir de la caché NGINX y White Mark solo se aplicarán a los usuarios del host de WPScale.
En las Herramientas adicionales, encontrará las siguientes funcionalidades:
- Desconectar todas las sesiones excepto la del usuario activo
- Limpiar todos los datos temporales expirados
- Limpieza de comentarios de spam
- Limpiar comentarios de la papelera
- Restablecimiento de WPS Bidouille
En conclusión
Crear un sitio web o un blog requiere mucha energía. Tener todo lo que necesitas en materia de seguridad te garantizará tranquilidad y un considerable ahorro de tiempo en la gestión de tu herramienta de trabajo.
Por supuesto, puede llevar tiempo configurar todo al principio, pero imagina tener que rehacer toda tu web o blog porque fue pirateada. Si tienes en cuenta los recordatorios de seguridad y utilizas extensiones gratuitas, no te costará casi nada protegerte de ataques de fuerza bruta entre otro tipo de intrusiones.
Ten en cuenta que hay tres áreas que deben protegerse en prioridad:
- La dirección URL
- La página de autenticación: contraseña, inicio de sesión, mensaje de error de conexión
- El editor de archivos que debe estar desactivado
Gracias a las extensiones gratuitas, puedes ocultar fácilmente la versión del CMS y cambiar el prefijo WP. Estas extensiones no modifican el contenido de tu web de ninguna manera, por lo que puedes probarlas de antemano y deshabilitarlas si es necesario sin ningún riesgo.
Si eres nuevo en el mundo de los blogs, puede ser reconfortante poder interactuar con expertos. El equipo de WPScale estará a tu disposición y te acompañará diariamente en esta aventura.