En ningún momento me había planteado escribir en este blog nada relacionado con la seguridad en wordpress. Sin embargo, después del ataque sufrido por hackers me he dado cuenta que la seguridad es un aspecto muy importante a considerar y valorar. Tanto si es un blog personal, como si se tiene un ecommerce… nuestra web es nuestro escaparate, nuestra imagen, nuestro punto de venta, nuestra información que deseamos transmitir. Es algo serio. Por eso se merece un apartado que hable de seguridad. En este caso concreto, y como utilizo wordpress, hablaré exclusivamente de ello. No obstante, si utilizas Magento, Prestashop o cualquier otro CMS también recomiendo que lo blindes. ¿Te imaginas que un hacker destroce tu tienda virtual?. Es como si unos gamberros hubieran roto los cristales de tu local y lo hubieran destrozado todo. Desagradable ¿Verdad?.
Empecemos:
En caso de haber sufrido un ataque:
– Desactiva todos tus plugins y tu theme.
– Tienes que descartar por donde entraron, y si reescribieron algún fichero de tu Theme, cambia los permisos del mismo.
– Revisa tus contenidos y los comentarios.
Consejos por: @lonchbox. Muchas gracias, Pancho.
Así mismo se recomienda encarecidamente que se realice las siguientes acciones cuanto antes:
– Revisar el contenido en tu hosting en busca de contenidos de terceras personas.
– Revisar la integridad de las aplicaciones subidas al hosting en busca de vulnerabilidades actualizándolas y parcheandolas en la medida de lo posible. Antes de llevar a cabo tareas laboriosas o importantes, es altamente recomendable realizar una copia de seguridad total desde tu panel de control cPanel (si es lo que utilizas). De este modo, ante cualquier imprevisto, podrás retroceder al estado anterior (en el momento en el que realizó la copia).
– Regenerar las contraseñas de acceso al hosting y aplicaciones del hosting (como medida preventiva).
Políticas de seguridad:
– Realiza asiduamente copias de seguridad. No hay una norma escrita al respecto, pero si tu blog o tu web se actualiza cada día es recomendable que la política de copias de seguridad sean diarias.
– Usa akismet o cualquier otro plugin antispam para tus comentarios a tu blog.
– Revisa siempre los comentarios.
– Revisa actualizaciones de tu wordpress, theme y plugins. Mantente siempre actualizado para arreglar los posibles agujeros de seguridad.
Plugins de seguridad:
Antes de todo, debes tener en cuenta los recursos que puedan consumir los plugins instalados, es decir, instalarlos está bien pero que ello no genere problemas en la aplicación de lentitudes o consumos de recursos, analiza todo esto antes de instalarlos.
Wordfence: http://wordpress.org/plugins/
Better WP Security: Para protegerte de las formas de ataque más comunes de WordPress y protegerte de posibles sorpresas inesperadas.
Bulletproof Security. Muy interesante para proteger el .htaccess y hacer backups.
Exploit Scanner. Generalmente suelen atacar con xploits. Este plugin nos permitirá escanear nuestro sitio en busca de códigos «extraños».
– Otros: WP Security Scan, Ultimate Security Check, Exploit Scanner o WP File Monitor.
– Para evitar spam: akismet, spam free, bad behavior + http:BL Key o Block Bad Queries
– Para crear copias de seguridad (Backup): WP-DB Manager, WP-DB Backup, Backwpup o Xcloner.
Consulta webs especializadas en temas de seguridad:
Siempre nos irá bien tener un experto de nuestro lado, hay multitudes de webs que son especialistas en seguridad. De vez en cuando habría que echar un vistazo a esas webs para ver que nos recomiendan. Os dejo con una que me ha parecido muy interesante.
http://www.seguridadwordpress.
Chequea vulnerabilidades de tu wordpress:
Hay muchas webs que te pueden ayudar, y muchos plugins, pero si quieres observar tus vulnerabilidades rápidamente, puedes ir a WP Doctor:
- Pon tu web y deja que escaneé
- Ves a la sección de seguridad y observa las vulnerabilidades.
- Corrige la vulnerabilidad haciendo click «Cómo arreglarlo» y sigue las pautas.
Por último dejo para descargar la guía básica de seguridad de WordPress del Insituto Nacional de Tecnologías de la Comunicación (INTECO)
Seguramente me habré quedado corto con este post hablando de seguridad. Pero estoy seguro que puede ser un buen punto de partida para asegurar nuestro amado trabajo.
Laura
Esto hay que tenerlo en cuenta yo no sabía o no tenía idea de que con una página o tienda en internet también había que tener cuidado de que no saquen datos o información que se se tiene, asi que a ponerme a buscar información para ver si puedo hacer que mi sitio sea seguro, por lo pronto leí esto y ya me ha ayudado así que les dejo algo que también hace unos minutos descubrí http://www.gestiontpv.com/blog/protege-tu-tienda-online-de-los-hackers y que es de beneficio en relación a estas cuestiones online, gracias por el aporte!!!!