Diseño de páginas web en León y Programación Web en León
ADVERTENCIA sobre el artículo que vas a leer: existen profesionales dedicados al mantenimiento web, es decir, que si llegado a un punto de este artículo te crees más capaz de aprender sánscrito que de resguardar tu web de amenazas, debes recurrir a un especialista. Si no, te dejamos con estos consejos de seguridad en Wordpress.
O como diría el poeta: ¿Qué es una web? ¿Y tú me lo preguntas? Web eres tú...
Nos remontamos al año 1980, cuando nuestro amigo Tim Berners-Lee, físico y trabajador del CERN inventó un sistema para compartir documentación y documentos basado en el concepto de "hipertexto".
Años atrás, el sistema de hipertexto permitía ya relacionar información básica con otros muchos documentos a modo de índice y crear enlaces a la información ampliada, pero es con este nuevo avance que, en 1980, el usuario “casero” podía por fin navegar dentro de esa información relacionada. Tim consiguió normalizarlo.
Después de muchas reuniones, normas y acuerdos, a principios de los años 90, nace el formato HTML, en inglés Hyper Text Markup Language, algo así como lenguaje de marcas para hipertexto.
Entre medias, en 1989, se forma el W3C, el World Wide Web Consortium que promovía la estandarización del lenguaje de marcas para que, gracias a estos amigos, pudiéramos utilizar el famoso www.google.com ?.
Múltiples versiones nos han sacudido hasta el día de hoy, pero ¿qué es HTML en estos momentos? Es sumamente sencillo: es un sistema de texto, etiquetas, y normas que los navegadores que utilizas para acceder a Internet, interpretan para que veas las páginas web que te gustan. La complejidad está servida dentro del propio código, pero eso lo dejamos para los diseñadores de páginas web (jeje).
Sólo es necesario que sepas que, gracias a ese invento de 1980, Chrome, Firefox, Internet Explorer, Safari, Edge, son capaces de construir esas preciosas webs. Gracias a un sencillo leguaje que, mediante etiquetas, hace posible presentar en la WWW, los textos, imágenes, vídeos y descargas que nos acompañan día a día.
Por último, ten presente que, para que toda esta magia surta efecto, las páginas web requieren tener todo su contenido almacenado en servidores. Es el servidor web el que puede restringir el acceso únicamente a redes privadas o puede publicar las páginas en la World Wide Web.
Y en este punto es posible que os preguntéis para qué dar en un artículo como este, de consejos para seguridad, una definición básica de sitio web. Pues porque esta definición es perfecta para detectar los niveles de peligro que encontramos en los sites, esto es:
· la tecnología de creación
· la tecnología de acceso
· la tecnología de almacenamiento.
Estos son los niveles en los que deberemos movernos para conseguir asegurar lo más posible el funcionamiento de nuestra página.
Por su puesto, antes de empezar, es importante saber que existen profesionales dedicados al mantenimiento web, es decir, que si llegado a un punto de este artículo te crees más capaz de aprender sánscrito que de resguardar tu web de amenazas, puedes recurrir a un especialista.
Dicho esto, comenzamos con los consejos de seguridad en Wordpress (en adelante, WP)
1. Actualiza todo:las actualizaciones existen para fortalecer los programas, es decir, cuando se detecta una vulnerabilidad los programadores buscan la forma de eliminarlas y de esas modificaciones surgen las versiones que aplicamos al actualizar.
Es importante que, cuando elijas un plugin o tema, te cerciores de que tiene una buena periodicidad de actualizaciones, porque eso significa que no está en desuso y que las vulnerabilidades se detectan y resuelven.
Wordpress te avisa cuando hay actualizaciones de tus plugins, temas o de la propia versión de WP, no obstante, es importante, si tienes algún elemento descargado que no pertenezca al directorio oficial de WP, que revises a menudo si existe alguna versión nueva.
2. Haz copias de seguridad periódicas y automáticas:tanto para los que controlan su web al segundo como para los que acaban de crear su primera web, para todos, es fundamental tener una buena periodicidad de copias de seguridad.
Imagina que haces una actualización y algo sale mal, o que instalas un plugin que genera una incompatibilidad con otros que ya están en uso. En estos casos te alegrarás de poder volver atrás ¿verdad? Pues no te digo nada si los malos se meten en tu contenido y dejan tu página para el desguace.
Asegúrate de tener copias de seguridad diarias si es posible. Actualmente, los servicios de hosting te ofrecen la posibilidad de automatizar esta acción. Úsala.
También desde WP puedes automatizar la copia de seguridad, con plugins que, además, te dejan elegir dónde quieres guardar estas copias.
3. Protege el login de Wordpress: estos son los login que debes asegurar para proteger el acceso a tu web.
· Usuario:personaliza el nombre de usuario. Es decir, si eres el administrador, no uses el usuario por defecto: Admin. Cámbialo para poner dificultades al acceso de cualquier malhechor.
Además, en caso de tener muchos usuarios registrados puedes incluso forzar el cambio de contraseñas para que sean todas seguras, incluida la de los administradores.
· Contraseña:WordPress ahora ya cuenta con un generador de contraseñas seguras, úsalo o pon una contraseña bien complicada. Piensa que ahora los navegadores guardan esas contraseñas y no tendrás que recordarla.
· Bloquea el acceso desde otros países:una de las peores cosas que puede pasarte es que se metan en tu página para colarte spam, inyectar código, robar datos, acceder a tu panel de administración. La mayor parte de estas acciones se realizan desde usuarios de otros países. Bloquéalos a través de plugins específicos.
· Limita los intentos de login:uno de los formularios más vulnerable es el de login. Con los intentos masivos de login, los hacker pueden llegar a acceder a aplicaciones de tu web y dotarse de permisos para modificar o perjudicar su funcionamiento y el de tu negocio o proyecto.
Para este caso existen algunas opciones que pueden evitar estos abusos:
o Desactivar el registro de usuarios.
o En caso de no poder desactivar el registro de usuarios porque es parte de tu marketing o de las transacciones de tu negocio, instala un plugin para detectar programas de login masivo. Uno muy famoso es reCaptcha (que solicita responder algún tipo de pregunta para probar que el que se loga es humano).
o También puedes instalar un plugin para bloquear la cuenta de usuario con un número de intentos de login que tú decidas.
4. Borra el contenido que te delata:cuando inicias el desarrollo de tu página o blog en Wordpress, se descargan por defecto una serie de temas y plugins que en realidad no sirven de mucho, son sólo recomendaciones o detalles del desarrollador que en realidad nunca vas a usar, pero que un hacker va a interpretar como elementos de un sitio nuevo y poco protegido.
Hablamos por ejemplo de los plugins Akismet, Hello Dolly, la entrada de ejemplo de los temas que se suelen titular ¡Hello World!, o el tema twenty seventeen, por ejemplo.
Como vamos a decir a continuación, si no los usas, elimínalos.
5. Elimina todo lo que no utilices:elimina los plugin y temas que no uses porque no les prestarás atención y pueden poner en riesgo todo el proyecto. Tanto temas como plugins en desuso, además, ocupan unos recursos dentro de tu base de datos que puede ralentizar los procesos y perjudicar el posicionamiento de tu web.
6. Baja sólo de sitios seguros:de este modo te aseguras de que no existan incompatibilidades, de que la calidad de los plugins y temas sea la adecuada y evitas que haya código que pueda interferir con las aplicaciones de tu web. En los sitios seguros de descargas tendrás toda la información relevante sobre los programas que te interesen y, si es necesario, te proporcionarán acceso al soporte técnico del programa.
El repositorio oficial de temas y plugins de WP puedes visitarlo también en estas direcciones: https://es.wordpress.org/plugins/, https://es.wordpress.org/themes/.
7. Protégete del spam:Descarga un buen plugin antispam o prueba con estas opciones:
· Añade un sistema de comprobación humana.
· Proteger los formularios de la inyección de caracteres especiales.
· Aprueba manualmente todos los comentarios.
· Desde los ajustes de comentarios, incluye reglas para prohibir ciertos comentarios automáticamente.
8. Contrata un hosting seguro: el hosting es el servicio que te proporciona el almacenaje y la gestión de las bases de datos de tu web. Todo el contenido de tu página está en el hosting, por ello es importante que preguntes qué medidas de seguridad ofrecen para mantener a salvo el contenido y el funcionamiento del site que les vas a confiar.
9. Aprovecha el HTTPS y el SSL: http es un protocolo que nos permite acceder al contenido de las webs desde cualquier parte del mundo. Si a ese protocolo le añadimos esa última “S”, estamos dotando a la información compartida de un extra de seguridad. Este extra se consigue mediante los certificados SSL, que son muy baratos y cuando los adquieres te pertenecen de por vida.
Si aún no lo tienes pregunta a tu proveedor de hosting, seguro que él te lo puede proporcionar.
10. Instala un plugin de seguridad: busca el que mejor te convenga en el repositorio oficial de WP o, recuerda, en repositorios seguros. Intenta en todo caso que ese plugin de tu elección te ofrezca avisos ante cualquier cambio en tu sistema de archivos de WP.
11. Prefijos seguros para la BBDD: esto supone modificar el prefijo wp- que se incorporará a los archivos y carpetas de contenido y configuración de tu site. Si aún no has empezado a crear tu web o blog, es fácil ajustarlo desde Wordpress. Si tu página es anterior, quizá necesites ayuda de un especialista porque tendrás que hacer cambios sobre la página inactiva en varios lugares delicados de tu site.
12. Algunos de estos consejos te serán más fáciles de gestionar también si das de alta tu sitio en Google Search Console que te ofrece:
· Notificación de actualizaciones de WordPress
· Avisos ante inyecciones de código
· Avisos ante problemas de usabilidad
· Notificación de problemas de velocidad
Advertimos que esta parte puede resultar compleja para personas que no tengan conocimiento de códigos de programación, pero si hay algún atrevido que quiera probar estas soluciones, que recuerde ANTES DE NADA HAZ COPIA DE SEGURIDAD.
1. Protección en el archivo de configuración de WordPress (wp-config.php):por si no lo sabes, es el archivo que contiene la información básica de tu web (usuario y contraseña de la base de datos, por ejemplo).
Para protegerlo las recomendaciones son:
· Muévelo a una carpeta de nivel superior, de esa forma, cambias la ruta habitual sin cambiar la funcionalidad.
· Protégelo contra escritura cambiando los permisos a 444. Por defecto estos permisos en WP son 644 para archivo (permite escritura) y 755 para carpetas. Para modificarlo tendrás que acceder al panel de control de tu base de datos.
· Añade reglas para evitar accesos directamente al fichero de Apache .htaccess.
2. Protección para la carpeta de archivos subidos (wp-content/uploads):en esta carpeta se guardan todas las imágenes y documentos que incluyes en las publicaciones de la web.
Aunque WP no permite la subida directa a esta carpeta de archivos ejecutables, si eres de los que persiguen la seguridad extrema puedes probar a añadir líneas de código para limitar aún más el acceso, en el .htaccess del fichero.
3. Este modo de protección modificando los accesos con código también te puede servir para evitar el pingbank o el propio archivo .htaccess.
El archivo .htaccess es un fichero del servidor Apache que aplica reglas a cualquier aplicación instalada en tu alojamiento.
Para encontrar el código que permite securizar los archivo y carpetas que te destacamos en este apartado, te recomendamos que completes este artículo con la información de nuestras fuentes que te dejamos más abajo.
FUENTES
https://www.cice.es/noticia/8-recomendaciones-seguridad-wordpress/
https://aulacm.com/seguridad-y-proteger-wordpress/
Suscríbase y reciba nuestras promociones en su email.
