Trabajar con sistemas de administración de contenido populares puede ser una excelente manera de administrar, modificar y mantener su sitio web. Pero una gran popularidad conlleva una gran responsabilidad de proteger su instalación de WordPress de los piratas informáticos que pretenden explotar sistemas populares como WordPress. Averigüemos cómo podemos asegurar nuestro servidor y protegernos de los atacantes.
¿Por qué necesito proteger WordPress?
La popularidad de WordPress lo convierte en un objetivo para los piratas informáticos. Con millones de usuarios en todo el mundo, los atacantes sacan el máximo provecho de su inversión explotando herramientas tan ampliamente utilizadas. Un solo exploit podría permitir que un pirata informático comprometiera cientos o miles de sitios web, lo que podría significar que su sitio web es uno de los muchos afectados.
Las formas principales en que WordPress es pirateado o comprometido son las contraseñas fáciles de adivinar y el compromiso de temas, complementos y una instalación obsoleta de WordPress. Mantener contraseñas seguras y nombres de usuario, temas, complementos e instalaciones principales actualizadas con los parches más recientes puede contribuir en gran medida a proteger su servidor de los atacantes.
Veamos cómo podemos actualizar estos elementos y asegurarnos de que nuestra instalación de WordPress esté actualizada.
Creación de un nombre de usuario y una contraseña seguros
Si bien no puede cambiar el nombre de usuario establecido durante la instalación de WordPress, podemos crear un usuario administrativo alternativo que no tenga un nombre de usuario fácil de adivinar, como "usuario" o "administrador", que puede no haber sido considerado durante la instalación. Entonces podemos crear una contraseña segura para la cuenta de administrador original, para que no sea adivinada.
Los nombres de usuario fáciles de adivinar permiten a los atacantes adivinar combinaciones comunes de nombres de usuario y contraseñas para obtener acceso a su instalación de WordPress. Al tener un nombre de usuario oscuro y único, incluso si su contraseña es algo simple como "contraseña", los atacantes aún tendrán que adivinar su complicado nombre de usuario para obtener acceso.
Con un nombre de usuario como "mywebsite123987@$@!", a los hackers les resultará difícil comprometer su servidor de esta manera.
Para crear un nuevo usuario, abra su panel y vaya a Usuarios.
Seleccione Agregar nuevo en la navegación superior para crear un nuevo usuario.
Asegúrese de proporcionar un nombre de usuario y una contraseña únicos y difíciles de adivinar, con más de 12 caracteres, incluidas letras, números y símbolos.
Asigne a este usuario la función de administrador, luego seleccione Agregar nuevo usuario.
Ahora, podemos volver a la página Usuarios y seleccionar nuestra cuenta de administrador original llamada usuario.
Generar una nueva contraseña para nuestro usuario original que será imposible de adivinar. Ahora que tenemos nuestra cuenta de administrador alternativa, nuestra cuenta original llamada usuario puede tener una contraseña muy larga y complicada, por lo que los atacantes no la fuerzan bruscamente por ser un nombre de usuario tan común.
Cambiar la URL de inicio de sesión de WP-Admin
Otra excelente manera de proteger sus páginas de inicio de sesión es cambiar la URL de inicio de sesión predeterminada de wp-admin a algo único. De esta manera, los atacantes no pueden intentar iniciar sesión automáticamente en su sitio web a través de la URL predeterminada ejemplo.com/wp-admin/ y tendrán que adivinar su página de inicio de sesión (nombrada de forma segura) para atacar su sitio web.
Si bien esta no es una característica compatible de WordPress, podemos lograrlo de dos maneras. Usando un complemento o modificando archivos manualmente para hacer nuestros cambios.
Para este artículo, modificaremos manualmente nuestros archivos y haremos todo lo posible para evitar complementos innecesarios.
Es importante tener en cuenta que estas modificaciones no se trasladarán a las actualizaciones de WordPress y podrían causar algunos problemas en el futuro. Para garantizar actualizaciones sin problemas, se recomienda mantener una copia de seguridad de todos los archivos modificados y restaurarlos antes de actualizar. Luego, simplemente puede hacer los mismos cambios nuevamente para restaurar su URL de inicio de sesión segura de WordPress.
Para comenzar, necesitará un buen editor de texto como Notepad++ que tenga una función fuerte de buscar y reemplazar. Una vez que tengamos esto, busquemos nuestro archivo wp-login.php en nuestro directorio raíz de WordPress.
Lo primero es lo primero, haga una copia de seguridad de este archivo en caso de que necesitemos volver a la URL de inicio de sesión original en algún momento. Una vez hecho esto, abra wp-login.php en Notepad++ para que podamos emitir el módulo de buscar y reemplazar que necesitamos para proteger nuestra página de inicio de sesión.
Para acceder al módulo buscar y reemplazar, vaya a Buscar en el menú superior y busque Reemplazar.
Una vez que el módulo esté abierto, en el campo Buscar: ingrese wp-login y en Reemplazar con: ingrese la URL de inicio de sesión deseada. En este caso, he elegido custom_login para que sea nuestra nueva página de inicio de sesión designada.
Seleccione Reemplazar todo para reemplazar todas las apariciones de wp-login.
Guarde su archivo y navegue de regreso al directorio de inicio de WordPress. Es hora de cambiar el nombre de nuestro archivo wp-login.php a custom_login.php.
Ahora, para probar que nuestro cambio funcionó, acceda al directorio wp-admin en su sitio web. En mi caso, se encuentra en https://localhost/wordpress/wp-admin/. Al cargar esta URL, debería encontrar que da un error o una advertencia de "Página no encontrada". ¡Esto significa que nuestra URL de inicio de sesión ha cambiado y los piratas informáticos no pueden encontrarla usando una URL de inicio de sesión predeterminada!
Abramos la página de inicio de sesión correcta ahora, en mi caso ubicada en
¡Felicitaciones! Ha cambiado su URL de inicio de sesión predeterminada a una URL única más segura que será más difícil de adivinar para los piratas informáticos. Esto evitará que su página de inicio de sesión sea forzada por programas que buscan específicamente la URL wp-login.php. ¡Un paso más cerca de la seguridad!
Mantén actualizados los complementos, los temas y el núcleo de WordPress
La forma más eficaz de proteger su instalación de WordPress es mantener actualizados los temas, los complementos y la instalación principal de WordPress.
Los complementos y los temas a menudo son el objetivo de los piratas informáticos, ya que tienden a ser desarrollados por desarrolladores externos con recursos algo limitados, a diferencia de la organización de WordPress, cuya prioridad será la seguridad y la prueba de errores de los complementos y temas oficiales.
Los temas y complementos se crean sin embargo, el desarrollador decidió escribirlos, y a menudo no se prueban exhaustivamente contra vulnerabilidades. Esto puede causar problemas a los usuarios una vez que un atacante encuentra un error en los archivos de temas que pueden no haberse actualizado para todos los usuarios. Esto también puede suceder años después.
Los complementos funcionan de la misma manera, pero los usuarios de WordPress pueden utilizarlos más ampliamente, lo que los convierte en un objetivo ideal para los piratas informáticos. Ha habido muchos casos en los que se explotan complementos instalados por millones de usuarios, y todos los sitios web con el complemento afectado pueden verse comprometidos si no se actualizan.
Para administrar las actualizaciones de WordPress, vaya al Panel de control y busque Inicio.
Esta página lo ayudará a administrar actualizaciones principales, actualizaciones de temas e incluso actualizaciones de complementos en un lugar central. Se le notificará de cualquier extensión desactualizada y se le dará la opción de actualizarla aquí. Solo necesitará acceso FTP que tenga derechos de modificación sobre el tema, complemento o instalación de WordPress.
Si bien WordPress a menudo proporciona advertencias en la página principal del Panel de control para archivos obsoletos, consulte esta página de actualizaciones de WordPress con frecuencia y asegúrese de que sus archivos estén actualizados. Parchar archivos obsoletos es una de las formas más efectivas de evitar que los atacantes tomen el control.
Minimización del uso de complementos y temas instalados
Ciertamente puede ser un desafío mantener los temas y complementos actualizados con los últimos parches, especialmente si está utilizando docenas o más de temas y extensiones. Una de las formas más fáciles de minimizar este riesgo es limitar la cantidad de complementos y temas que está utilizando.
Esto brinda exponencialmente menos vectores de ataque para los piratas informáticos por cada complemento o tema que no está instalado y puede tener posibles vulnerabilidades. Además, la desinstalación de complementos y temas desactivados evitará que incluso las herramientas no utilizadas sean explotadas en el futuro por errores graves.
Una vez que haya decidido no usar un complemento, continúe y elimínelo por completo de su sitio web. Incluso se ha descubierto que los complementos desactivados antiguos tienen errores graves que fueron comprometidos por piratas informáticos a gran escala.
Si bien parece haber un complemento para todo, incluso para algunas de las cosas que hicimos hoy, minimizar el uso de complementos e instalaciones de temas sin duda ayudará a proteger su sitio web de errores fácilmente explotables que los piratas informáticos pueden encontrar incluso años después. línea. Si es posible, tenga instalado solo el tema predeterminado y el que está utilizando, y la menor cantidad posible de complementos para que su sitio funcione.
Recuerde, cuantos más usuarios tengan un complemento o tema instalado, más jugoso será el objetivo para que los piratas informáticos encuentren un exploit.
Copias de seguridad para remediación y tranquilidad
Un paso final para proteger el compromiso irrevocable es mantener copias de seguridad seguras. Si hay un anuncio de un error encontrado en un complemento o WordPress, es posible que pueda volver a una instalación más segura o simplemente eliminar los archivos afectados del sitio web en vivo.
Si el exploit es lo suficientemente grave, es posible que desee tener una instalación nueva de WordPress y simplemente importar sus publicaciones a la instalación nueva y segura.
Si bien hay un millón de formas de hacer una copia de seguridad de sus datos, le mostraremos la forma más básica de hacer una copia de seguridad de los archivos de WordPress utilizando la herramienta de exportación integrada.
Esta herramienta se encuentra en Herramientas > Exportar en el panel de control de WordPress.
Desde aquí, puede exportar manualmente publicaciones, páginas, archivos multimedia o todo el contenido.
Esto no hará una copia de seguridad de su tema o complementos de ninguna manera, ni hará una copia de seguridad de los archivos modificados como nuestra página custom_login.php. Sin embargo, en caso de desastre, tendrá copias de seguridad seguras de todas sus publicaciones y páginas para importarlas fácilmente a una nueva instalación.
Los métodos alternativos para hacer una copia de seguridad de sus archivos incluyen exportar la base de datos SQL en su totalidad. Pero una vez comprometidos, es difícil saber exactamente qué archivos y datos corren el riesgo de una puerta trasera a largo plazo. Si su instalación de WordPress se ha visto comprometida, es mejor comenzar de nuevo con una instalación nueva con la menor cantidad posible de archivos sobrantes.
Seguridad: un trabajo interminable
Si bien esta guía solo toca la superficie de la seguridad, estos son algunos de los métodos más efectivos para evitar un compromiso total de WordPress. Estos son los vectores de ataque más utilizados por los piratas informáticos y asegurar estos sistemas protegerá su sitio de los ataques más comunes y automatizados que se ejecutan contra las instalaciones de WordPress en todo el mundo.
Un nombre de usuario y una contraseña seguros que no se adivinen fácilmente, una página de inicio de sesión personalizada y complementos, temas e instalaciones principales actualizados contribuirán en gran medida a proteger su servidor. Combine eso con copias de seguridad sólidas y minimice las herramientas de terceros, y los piratas informáticos tendrán muchos menos vectores para explotar contra su instalación de WordPress.
¡La combinación de prácticas sólidas de WordPress con prácticas sólidas de seguridad del servidor, como encriptación, firewalls y detección de actividades maliciosas, mantendrá su sitio web seguro y un lugar seguro en la web!
