Robustecer la seguridad de nuestro WordPress II

Independientemente de los plugins que podamos instalar otras herramientas que existen en el Marketplace de WordPress. 

Es de bastante utilidad, realizar algunos ajustes para tener todavía más seguridad en nuestro blog. 

Nos vamos en este caso al menú ajustes y después a comentarios.

Tenemos que activar la opción: “El comentario debe aprobarse manualmente”.

Por otro lado es importantisimo tener actualizados todas las partes que componen nuestro WordPress:

  • Tener actualizada nuestra versión de WordPress. Lo que comúnmente se llama el “cuore” del WordPress.
  • (Cuidado en tener una copia de seguridad realizada antes de tener actualizar por si falla algo).
    • Es recomendable hacer copias de seguridad manuales. No con PlugIns aque si que es verdad que algunos Plugins de pago tienen su utilidad es siempre mejor no estar limitado a otros proveedores.
    • Si quieres saber como se hace una copia de seguridad sin Plugins, Visita mi artículo de cómo hacer copia de seguridad por FTP.
  • Instalamos las actualizaciones de los Plugins. Pero antes de actualizarlos insisto. Hacer una copia de seguridad por si cualquier cosa falla poder volver al punto anterior donde todo funcionaba correctamente.

Robustecer la seguridad de nuestro WordPress I

Cuando establecemos medidas adicionales para hacer más seguro un sitio web o cualquier sistema de información esto es lo que se denomina robustecer.

En este caso vamos  a robustecer nuestro WordPress con  un plugin.

Seguimos estos pasos:

Después en el campo de búsqueda ponemos “Honeypot Anti-Spam” como se ve en la imagen.

Si bajamos con el Scroll hacia abajo podemos ver:

Le damos a Instalar ahora. Y después a Activar.

Esto lo que va a hacer es que va a crear un campo invisible en los comentarios de WordPress de nuestro blog donde los bots siempre lo van a rellenar. Y una vez que se rellené este plugin no va a permitir que ese comentario llegue a nuestro gestor de contenidos.

Para quienes no sepan lo que es un bot, un bot no es ni más ni menos algo que se le llama robots virtuales. Qué lo que hacen es rellenar formularios de forma automática tanto formularios de contacto, como comentarios de blogs.  realmente lo que es sin más es un programa pequeñito que mediante variables va a buscar los formularios en Internet y los va rellenando y de esa manera intenta meterse en la base de datos de WordPress. Y así, introduce malware. 

Este tipo de ataque es como se conoce a el ataque de tipo: ”inyección de SQL”

Parámetros Básicos de seguridad en WordPress

Nada mas instalar nuestro CMS (“content management system” (sistema de gestión de contenido)). Tenemos que:

  • Asegurarnos que cada usuario tiene su perfil correspondiente los privilegios que le correspondan. Solamente puede ser “Administrador” el usuario que gestiona el proyecto o el llamado “WebMaster”. El resto serán: Autores, Editores, etc.
  • Tanto el usuario que es administrador, como el resto de perfiles de usuarios que vayan a colaborar en nuestro proyecto cada uno de ellos tiene que tener unas contraseñas seguras.

Esto se hace en:

Voy a Usuarios/Todos los usuarios

Aquí veré todos los usuarios creados con sus perfiles y privilegios.

En concreto voy a ver los que tienen permisos de administrador que son los mas relevantes en cuanto a privilegios. Por eso tengo que pinchar en administrador como se pone aquí debajo.

Una vez veo los diferentes usuarios pincho en el que me interese securizar.

Pinchando en Editar veo esto:

En la parte de abajo compruebo que tiene un perfil de administrador. O del privilegio que yo le quiera dar.

Y si bajo un poco mas, veo esto:

Es aquí donde si pincho en “Establecer una nueva contraseña” podre darle una contraseña robusta difícil de huaquear.

Por ultimo le tendríamos que dar al botón de:

Con todo esto ya tendríamos a este usuario totalmente segurizado.

Nota: NUNCA poner nombres de usuario con nombres claves como por ejemplo “Admin” o una contraseña tipo “1234”. Seria muy muy fácil poderlo hackear por ejemplo con un método que se llama Fuerza Bruta. No doy mas pistas… 🙂

Preinstalación de WordPress con Seguridad

A la hora de elegir diferentes compañías de alojamiento. Nos suelen dar dos posibilidades:

Instalar WordPress de forma automática con un asistente propio de la compañía que nos ofrece ese alojamiento que suele esta en su panel de control.

O instalarlo nosotros de manera manual.

Sea cual sea la opción que tengamos. Tenemos que tener las siguetees consideraciones:

  • El prefijo de la base de datos no tenga “wp_****” siendo *** lo que sea. Ya que Por defecto WordPress utiliza el prefijo wp_ para todas sus tablas. Un atacante por medio de inyección SQL lo primero que intentará es crear un usuario buscando la tabla wp_users.  Afortunadamente podemos (y se recomienda) cambiarlo.
  • Contraseñas de la base de datos como de FTP, sean totalmente diferentes. Intentar que nada se parezca a nada.  Para hacer esto mucho mas fácil podemos ir a la pagina web: https://www.clavesegura.org/es

En este caso poniendo “todos los caracteres” y una “longitud” de 12. Obtendremos una contraseña robusta: syZ[SK8[UEG0 con mayúsculas, minúsculas, números y caracteres especiales que son las que es lo mínimo que tiene que tener una contraseña para ser segura.

Una vez instalado WordPress con estos parámetros de seguridad comentados. Tendremos que, tener una configuración mínima de este gestor de contenidos para poder operar con seguridad.

Elección del Hosting e instalación de WordPress.

El Hosting no es ni mas ni menos, que el lugar físico donde vamos a alojar la información. 

En este caso es en un alojamiento web donde instalaremos nuestro gestor de contenidos WordPress.

De toda la variedad de ofertas que tenemos en el mercado, a la hora de elegir en que compañía lo vamos a alojar, tenemos que tener en cuenta los siguetees puntos clave:

  • Tienen que tener: 
    • Cortafuegos.
    • Denegación de ataques por peticiones simultaneas. “ataques DoS”. Si queréis mas información al respecto me lo podéis pedir y hago un artículo para ello.
    • De lo mas importante es que tengan las cuentas aisladas
      • Cuentas en las cueles vamos a compartir un servidor compartido que es casi siempre lo que contratamos, pero en este tipo de servidores necesitamos que sean como “casas independientes” dentro del servidor. Es decir si entran a nuestro edificio de vecinos pueden robar a mi vecino pero a mi no por que tengo unas medidas de seguridad externas. Las medidas de seguridad internas de nuestra casa las describo en los artículos:
        • Configuración básica de WordPress con algunos ajustes por defecto.
        • Personalizar la configuración de WordPress para optimizar esa seguridad.

Seguridad Informática en WordPress

Si algo hay, en lo que tenemos que tener al día ya sea nuestra pagina web o blog; personal, profesional o corporativa. Es en la seguridad. Ya que no solo a nivel técnico sino a nivel de seguridad informática estamos cada vez mas expuestos.

Los tres esclavones de que se compone la seguridad de la información son: Hardware, Software, Comunicaciones, y usuarios. Siendo este ultimo el eslabón las débil.

En este artículo vamos a dar primero unas pinceladas generales. y en otro mas adelante nos centraremos en cuestiones mas concretas.

Fundamentalmente tenemos estos aspectos importantes:

Hosting y Seguridad:

  1. Elección del Hosting e instalación de WordPress.
  2. Preinstalación de WordPress con Seguridad.
  3. Parámetros Básicos de seguridad en WordPress
  4. Robustecer la seguridad de nuestro WordPress I
  5. Robustecer la seguridad de nuestro WordPress II

Copias de seguridad:

Es importantismo tener copias de seguridad tanto en nuestro disco duro local como en un alamacenaimento en la nube. Para posibles recuoperaciones que podamos necestiar en caso de cambios ataques o por que queramos migrar de plataforma que nos ofrece nuestro hosting.

Los pasos para esta copia de seguridad son muy simples:

Tener actualizadas todas nuestras partes de WorPress

¿Como lo hago?

En estos sencillos pasos:

Todo esto lo veremos en cada Post con detalle.

Banco de Imagenes Gratis

Muchas veces necesitamos algunas imagenes gratis. Ya sea para una presentacion. Para un trabajo determinado, para nuestra tienda online, nuestra web. O cualquier necesideda que se nos pueda presentar.

En esta caso podemos ir a la pagina:  https://www.pexels.com/es-es/ donde tendremos un sinfin de imagnes.

Por ejemplo para esta entrada voy a buscar el esta paguina con las palabra clave “wordpress”.

Le damos a la lupa y nos sale esto:

Pues bien, seleccionamos la foto tercera de la primera fila. Y sale lo siguiente:

Si nos fijamos en la parte de abajo podremos ver:

Si le damos al botonb de informacion. vermos en la parte inferior:

Licencia
✓ Se puede utilizar gratis. ✓ No es necesario mencionar la fuente
 
Una vez que vemos que se puede descargar. le damos arriba al boton descarga gratuita pero no en el boton sino en la flecha que hay al lado.
 
 
En mi caso para un artuculo de worpress con una resolucion de 640 X 426 pixels me sobra.
Doy en descarga gratuita.
 
Una vez descargada en la carpeta de descargas o donde le digamos que la descarge ya la podemos utilizar para wordpress.