El otro día hablaba con un amigo sobre el último artículo sobre WordPress que había leído. Tiene algo de experiencia en el sector, pero a veces no puede evitar sacar su lado más cuñao y soltar perlas como la que me dijo a continuación:
La verdad, no sé cómo podéis seguir usando WordPress con lo inseguro que es.
Todavía me sorprende ver a gente que afirma sin tapujos que WordPress es una trampa llena de agujeros y totalmente insegura. Hace unos años era algo muy habitual en el sector, pero pensaba que habíamos evolucionado. El problema de seguridad no es de WordPress, sino de aquellos que no hacen el mantenimiento a su página web.
[bctt tweet=»WordPress no es inseguro. El problema son los cafres que no lo tienen actualizado» username=»ensalzacom»]
Este post no pretende ser una guía definitiva de seguridad en WordPress ni una garantía de que nunca te van a hackear tu página web. Simplemente es una pequeña lista de medidas de seguridad que a nosotros nos han ido muy bien durante todos estos años usando WordPress.
Si la sigues en todos tus proyectos, creo que la probabilidad de que entren a tu WordPress se acerca mucho a cero.
WordPress inseguro: ¿de dónde le viene la mala fama?
Antes de entrar en materia, voy a intentar razonar un poco de dónde le viene a WordPress esa mala fama de que no es seguro.
Desde que empezó a despuntar, hay 2 características que han acompañado a WordPress:
- Universalidad: el crecimiento exponencial de WordPress es innegable. Según las últimas estadísticas que he leído, en 2018 el 30% de internet estaba sobre desarrollos en WordPress.
- Facilidad de uso: causa o efecto de lo anterior, WordPress es muy fácil de usar y mucho más sencillo de instalar que una web maquetada en HTML a mano.
Con estos dos datos, resulta complicado pensar que tanta gente esté equivocada y se esté jugando la vida de su negocio con una plataforma insegura.
¿Dónde viene el problema? Al ser tan fácil de usar y estar tan extendido, muchas veces se ignoran los peligros que conllevan y el mantenimiento de WordPress se deja de lado. Bien sea porque se le da importancia o porque directamente quien se encarga de la gestión de la página web no tiene ninguna preocupación en temas técnicos o de seguridad.
Si sumamos administradores descuidados con miles de sitios con la misma estructura y un grupo de simpáticos hackers deseando hacer sus prácticas de destrucción, nos encontramos con lo inevitable: muchas puertas traseras y muchos WordPress infectados de spam.
No podemos echarle la culpa a algo que ha fallado porque no sabemos usarlo bien.
Una cosa sí que tengo clara: siempre, siempre, siempre que nos ha tocado limpiar un desarrollo web en WordPress que había sido hackeado, el responsable del mantenimiento se había dejado sin cumplir 2 o 3 puntos de esta lista.
Supongo que esos desarrolladores, como mi amigo, serán los que le echen la culpa al coche porque les ha dejado tirados. Aunque lleven 6 años sin pisar un taller ni para cambiarle el aceite.
Y ahora ya sí que sí, vamos a ver qué podemos hacer para aumentar la seguridad de nuestro WordPress:
Elegir un hosting de calidad
Primer punto de la lista. Imprescindible. Inamovible. Si le tienes un mínimo de cariño a tu proyecto o es ligeramente importante para tu negocio… ¡confía en un hosting de calidad!
No te dejes encandilar por ofertas baratísimas o incluso servidores gratuitos. Aquí lo barato siempre sale caro y tener un mal hosting te puede arruinar muchos buenos momentos.
Un buen hosting es la primera barrera de seguridad de tu WordPress. Ante posibles ataques por fuerza bruta, deberían ser tu primer aliado e incluso detectarlos antes de que tú te des cuenta.
¿Qué debes mirar al elegir hosting? Eso daría para un artículo completo, pero te dejo algunas claves:
- Busca opiniones en internet (muchas). Y búscalas de todo tipo, positivas y negativas. No te fíes ciegamente de alguien que solo tiene opiniones positivas.
- Medidas de seguridad específicas para WordPress.
- Un servicio técnico de calidad: intenta contactar con ellos, para ver cómo responden.
- Alojamiento enjaulado: que un «vecino» de hosting sea un inconsciente no debería afectar nunca al rendimiento de tu sitio. Asegúrate que te dejan alejado del resto en caso de desastre.
- Certificado de seguridad SSL: ya hemos hablado alguna vez de los certificados de seguridad. Asegúrate que puedes instalarlos e incluso que tienen soporte para instalar certificados de Let’s Encrypt, que son gratuitos y muy seguros.
Proteger el acceso al panel de gestión
Cuando hice mi primera mudanza, un amigo me dijo: lo primero que hago cuando me mudo es cambiar la cerradura principal. Prevenir antes que lamentar.
Por eso, lo primero que hago al instalar un WordPress es ponerle un mínimo de seguridad a la puerta de entrada del panel de gestión.
El acceso por defecto a WordPress está en /wp-admin/. Lo primero que va a intentar alguien con malas intenciones es entrar ahí para ver si puede entrar a fastidiarte.
Nunca dejes el acceso por defecto al panel de WordPress
Para solucionarlo puedes instalar algún plugin sencillo que te permita cambiar esa ruta por otra que tú recuerdes y se lo ponga más difícil. Nosotros usamos personalizado, pero puedes puedes echarle un ojo al repositorio de WordPress para encontrar alguno. Por ejemplo este «Protect Your Admin» está muy actualizado y cuenta con más de 30.000 instalaciones activas:
Por cierto, y unido al punto anterior, me he encontrado algunos proveedores de hosting que directamente bloquean el acceso a /wp-admin/. Eso a mi ya me parece una buena señal de hosting de calidad.
El núcleo de WordPress
Nunca debes dejar pasar las actualizaciones del núcleo de WordPress. Acostúmbrate a pasar por el apartado de actualizaciones de tu página web de manera regular (una vez a la semana sería ideal) y actualizar si hay una nueva versión del núcleo de WordPress.
Incluso las actualizaciones pequeñas son importantes. De hecho, esas actualizaciones pequeñas (de la 4.9.1 a la 4.9.2, por ejemplo) suelen ser las más importantes ya que solucionan pequeños agujeros de seguridad que la comunidad ha detectado.
El colmo de lo cafre: he llegado a ver a desarrolladores que bloquean las alertas de «Hay una actualización disponible» para no asustar al cliente/administrador del WordPress.
Mantenimiento de plugins y plantillas
Teniendo un buen hosting, el acceso por defecto bloqueado y las actualizaciones del núcleo de WordPress siempre al día, ya tenemos algo ganado para tener nuestro WordPress seguro.
¿El siguiente agujero a tapar? Los plugins y las plantillas, que son los causantes de la mayoría de desastres.
Para evitar disgustos, hay 4 medidas de seguridad que siempre cumplo cuando trabajo en WordPress:
Siempre actualizados
Como con el núcleo de WordPress, mi recomendación es que te pases regularmente por las sección de actualizaciones de WordPress y vayas limpiando la lista de actualizaciones pendientes, tanto de los temas como de los plugins que tienes instalados.
[bctt tweet=»Actualiza todos los plugins y plantillas que tengas instalados, aunque no los tengas activos #seguridad #WordPress» username=»ensalzacom»]
No te centres solo en los que tienes activos: hay algunos bugs que se aprovechan de versiones antiguas de plantillas que no tienes activas pero que por algún error pueden ser accesibles desde fuera. Actualízalas siempre.
Eso sí: debes tener cuidado, saber qué estas haciendo y hacer copia de seguridad por si surgiera algún problema o incompatibilidad con las nuevas versiones.
Borra lo que no vayas a usar
Como decíamos en el punto anterior, hay algunos bugs que pueden atacarte incluso si la plantilla o el plugin están desactivados.
Échale un ojo a lo que tienes instalado. Si algo no lo usas, ni lo vas a usar próximamente, bórralo. Si es un plugin gratuito siempre podrás volver a instalarlo (actualizado) y si es premium, deberías guardarte una copia local pero no dejarlo ahí subido cogiendo polvo.
¿Coleccionas plantillas? Aunque probaras 30 hasta elegir que ibas a trabajar con Divi, no tienes por qué dejarlas ahí.
Yo siempre intento quedarme con un máximo de 3:
- La plantilla principal
- El tema hijo de la principal (el que está activo y con el que realmente trabajas)
- Twenty eight o alguno básico similar. Normalmente el último que haya sacado WordPress.
Controla siempre qué tienes instalado
No tenía claro si poner este punto antes o después del anterior porque van de la mano.
Entrar en un WordPress y encontrarte 45 plugins instalados, 12 plantillas y 20 actualizaciones pendientes es, por desgracia, algo habitual. Mi consejo es que siempre tengas claro lo que hay instalado en tu WordPress
Un mayor número de plugins instalados aumenta las posibles vías de entrada y te dificulta el mantenimiento.
Intenta revisar también cuándo se hizo la última actualización de tus plugins. Si lleva años sin actualizarse y no está comprobada la compatibilidad con la última versión de WordPress es posible que el desarrollador lo haya abandonado y te pueda generar problemas.
Si tienes algún plugin instalado así, mi consejo es que busques alguna alternativa más actualizada que haga lo mismo, migres el contenido y borres el viejo.
Instalar desde sitios de confianza
Antes de instalar cualquier plugin o plantilla deberías asegurarte bien de dónde viene. El market más seguro es posiblemente el propio directorio de WordPress, aunque no el único. Intenta revisar opiniones, compruebas las instalaciones activas que tiene y si el plugin está lo suficientemente actualizado.
No te pido que instales con miedo, pero sí que tengas algo más de criterio.
[bctt tweet=»Cada vez que instalas un plugin premium de WordPress de manera ilegal, un hacker se frota las manos #seguridad #WordPress» username=»ensalzacom»]
Y en esta línea, aunque supongo que no hace falta decirlo: nunca, nunca, nunca instales un plugin premium desde un sitio que te lo ofrezca gratis o más barato que el oficial. Más allá de la falta de ética, te la estás jugando mucho y estás metiendo un posible caballo de Troya por la puerta grande de tu WordPress.
Copias de seguridad
¿Y si todo lo demás falla? ¿Y si aún así te han hackeado?
No lo dudes: el segundo plugin más necesario es una buena copia de seguridad. Tener un respaldo reciente de la página web y la base de datos te aporta la seguridad que necesitas para que, en caso de desastre, puedas restaurar.
Y hasta aquí mi lista de consejos para tener un WordPress más seguro. La verdad, me fastidia que WordPress se haya ganado esa fama cuando está en nuestra mano impedir que los malvados (que siempre van a existir), hagan de las suyas. En mi experiencia, he tenido muchos más problemas de seguridad con otros gestores de contenido como Joomla o Drupal (tanto que he llegado a odiarlos). Aunque supongo que será falta de costumbre y también tendrán sus prácticas habituales para evitar sustos.
¿Trabajas con WordPress o eres de los que piensa que es inseguro? ¿Aplicas estas u otras medidas de seguridad a tus proyectos? Si me dejas un comentario aquí debajo hablamos sobre el tema, que tengo curiosidad por saber cómo se mueve el mundo.