7 reglas para mejorar la seguridad de tu blog con WordPress

Sucuri-SiteCheck-Ernesto-del-Valle-Social-Media-Blog-e1355205073626.jpg

Si eres un bloguero principiante, quizá no te hayas llevado todavía ningún disgusto con la seguridad de tu sitio web, y ojalá que no suceda nunca. Si eres veterano, probablemente tendrás alguna historia inquietante que contar, de esas con muchas tribulaciones y final feliz. Yo he oído y leído una cuantas. 😉

Pero lo cierto es que ningún bloguero está totalmente a salvo, y por eso suele decirse que:

[quote style=”1″]La seguridad es una preocupación que debe ser constante.[/quote]

Sabes, además, que hoy en día se usa WordPress como un gestor de contenidos multiuso, y no sólo como un software para blogs. De hecho, bajo WordPress cada vez hay más sitios de empresa y webs de comercio electrónico (sólo el plugin WP e-Commerce tiene más de 2 millones de descargas, y el más reciente WooCommerce está subiendo como la espuma). Las consecuencias de una mala seguridad, en estos casos, pueden ser más graves.

No hay que confiarse, porque…

[quote style=”1″]No respetar las buenas prácticas es lo mismo que ponerse una diana en el pecho para llamar la atención de los hackers.[/quote]

Como bloguero militante y entusiasta, he ido acumulando con el tiempo mucha información relativa a la seguridad con WordPress. Me gustaría compartir contigo lo que he aprendido, de bloguero a bloguero, y espero que te sea útil.

Aquí tienes 7 reglas de oro que te ayudarán a mejorar la seguridad de tu blog:

 

 

# 1. Comprueba periódicamente que tu sitio está libre de malware

Hay herramientas online que te pueden resultar útiles, como la que ofrece esta empresa especializada: Sucuri SiteCheck – Free Website Malware Scanner.

Puedes ver en la imagen el resultado de comprobar SocialMediaBlog.es:

 

También puedes pasar la herramienta de diagnóstico de Google, lo que además te permitirá saber “cómo ve Google” tu página desde este punto de vista. Sólo tienes que poner lo siguiente (sustituyendo la URL de este blog por la tuya, claro):

https://www.google.com/safebrowsing/diagnostic?site=https://www.socialancer.com/

 

Si tienes verificado tu sitio web en Google Webmaster Tools podrás acceder a información sobre los problemas que pueda haber detectado Google (no sólo de seguridad), y si no lo tienes, te recomiendo que no lo dejes para mañana, ya que descubrirás un montón de cosas interesantes con este servicio.

En wordpress.org tienes plugins valiosos para la seguridad de tu sitio. Entre los más populares se encuentra:

Bulletproof Security.

Hay más, mira cuál se ajusta mejor a tus necesidades y fíjate en estos aspectos:

  • ¿Cuándo fue su última actualización?
  • ¿Es un plugin aceptado y probado a fondo por la comunidad? (Fecha de creación, número de descargas, valoración…)
  • ¿Qué requisitos de compatibilidad de versiones tiene?
  • ¿Posee una comunidad activa? (Foro de soporte)

# 2. Administra correctamente tus plugins y temas

Las vulnerabilidades en los plugins son una de las vías de acceso más comunes a sitios basados en WordPress. Mira por ejemplo este “sonado” caso que afectó a más de 1 millón de sitios: Attacks Target TimThumb Vulnerability.

La comunidad de usuarios y desarrolladores de WordPress, además de los expertos y empresas dedicados a la seguridad, permanecen atentos a las vulnerabilidades que puedan aparecer. Sin embargo, si no actualizas tus plugins y tus temas, de nada servirá que sus autores lancen versiones más seguras, ¿no crees?

Por otro lado:

[quote style=”1″]Los expertos recomiendan que elimines de WordPress los plugins y temas que no uses, o al menos actualizarlos, ya que pueden suponer un riesgo innecesario para la seguridad de tu blog. [/quote]

Este completísimo artículo, Jerod Morris entra a fondo en este asunto: Is this Hacker Entry Point Lurking in Your WordPress Website?.

# 3. Aprende de la experiencia de otros

Si sospechas que tienes un problema, es probable que otro bloguero, quizá más experto o mejor asesorado, haya pasado por lo mismo.

El año pasado, la bloguera y consultora SEO Aleyda Solís publicó este excelente post explicando paso a paso cómo resolvió un problema en su blog: Cuidado con el Pharma Hack en WordPress: Cómo identificarlo y eliminarlo. Creo que es un buen ejemplo no sólo por lo bien explicado y documentado que está, sino también por lo representativo del tipo de ataque comentado.

También puedes encontrar información en la Red con con un enfoque preventivo. Por ejemplo, un recurso gratuito muy popular es “The WordPress Security Checklist”.

Es bueno permanecer atento a lo que “se cuece” en la comunidad bloguera porque de esa forma te enterarás de alertas y novedades relativas a la seguridad que de otro modo podrían pasarte desapercibidas.

[quote style=”1″]WordPress tiene millones de usuarios y ahí precisamente reside parte de su valor: no estás solo.[/quote]

# 4. Usa contraseñas fuertes

A estas alturas, todos tenemos claro lo importante que es utilizar contraseñas que no sean previsibles, aunque a juzgar por algunas informaciones (Las 25 peores contraseñas de Internet | ABC.es) es obvio que este “todos” no incluye a “todos”.

Sin embargo, no pienses que crear una contraseña impredecible va a ser la solución definitiva. No basta con eso. Además, tendrás que hacer un buen uso de ella. Echa un vistazo a esta escalofriante información publicada por SecurityWeek: Study Reveals 75 Percent of Individuals Use Same Password for Social Networking and Email.

[quote style=”1″]¿Usas la misma contraseña para todo? Mala idea.[/quote]

También habrás oído hablar de la importancia que tiene cambiar tus claves periódicamente. ¿Lo haces?

Para asegurarte de que tus criterios de elección de contraseñas son adecuados, puedes consultar estos enlaces a los consejos de Norton y Microsoft:

Google también nos ofrece interesantes recomendaciones: Cómo crear una contraseña segura.

Los informes que publican regularmente empresas especializadas y expertos son muy útiles para entender la naturaleza de los riesgos y, sobre todo, su incidencia en términos estadísticos.

Este informe de Verizon es una fuente muy completa si quieres saber más sobre amenazas de seguridad: Informe sobre investigaciones de brechas en los datos 2012.

Y aquí te dejo el enlace a todo un “clásico” sobre las “contraseñas previsibles”, el estudio de la Universidad de Cambridge titulado The science of guessing: analyzing an anonymized corpus of 70 million passwords (PDF).

# 5. Mantén siempre actualizado WordPress

Quizá creas que no necesitas las nuevas funcionalidades o mejoras que WordPress va aplicando periódicamente porque tu sitio es “perfecto” o “mejor no tocarlo no vaya a ser que…”. Sin embargo, al no actualizar estás privándote, sobre todo, de parches que afectan a la seguridad. ¿Te lo puedes permitir? Seguro que no.

# 6. Si tienes un problema serio, confía en los expertos

Esto es “lo que se dice siempre”, ¿verdad?. Pero en este caso tengo una razón muy especial para subrayar algo que no es tan obvio como parece:

[quote style=”1″]Aunque seas un “crack” de WordPress, no te confíes.[/quote]

Podemos saber mucho de WordPress o conocer a alguien “muy curtido” en instalación y gestión de blogs, pero la seguridad es una especialización muy técnica y muy diferente, que involucra otro tipo de conocimientos y que puede requerir intervención profesional a otros niveles: servidor, programación, bases de datos…

Si nos metemos en un terreno que no es el nuestro, la probabilidad de que el problema reaparezca tras una aparente solución es alta, por no hablar del riesgo de hacer mayores estropicios que provoquen, por ejemplo, pérdida de información.

Yo lo tengo claro, ante un problema grave de hackeo mis opciones son:

  • Confiar en los expertos en seguridad y administración de sistemas de mi proveedor de hosting
  • Poner el caso en manos de una empresa o consul class='list-style-old list-style-arrow'tor con la especialización y la experiencia necesarias para enfrentarse a este tipo de problemas

Al hilo de esto, creo que no hace falta insistir en la importancia de tener un servicio de hosting fiable y accesible, atendido por personas que saben de lo que hablan y que están al teléfono cuando las necesitas. Infórmate sobre los estándares del servicio de tu proveedor de hosting en materia de seguridad, y sobre cómo pueden ayudarte si tienes un problema de esta naturaleza.

Seguro que esto ya lo sabías, pero por si acaso te lo recuerdo:

[quote style=”1″]A la hora de elegir un servicio de hosting, el precio no es lo único que hay que mirar.[/quote]

# 7. Sigue los consejos de WordPress

En el “codex” de WordPress, tienes un valioso recurso repleto de consejos y buenas prácticas para “curtir” tu sitio web y tenerlo mejor preparado frente a las amenazas de seguridad: Hardening WordPress.

Además, en el foro de soporte hay montones de conversaciones, consultas y sugerencias que te pueden ser útiles.

Y tú, ¿has tenido alguna mala experiencia? ¿Has puesto ya manos a la obra para mejorar la seguridad de tu blog?

[grwebform url=”https://app.getresponse.com/view_webform_v2.js?u=lhGe&webforms_id=3486903″ css=”on” center=”off” center_margin=”200″/] [grwebform url=”https://app.getresponse.com/view_webform_v2.js?u=lhGe&webforms_id=3503503″ css=”on” center=”off” center_margin=”200″/]

Ernesto del Valle

Consultor, formador y conferenciante. Ha ocupado diferentes cargos en empresas de ámbito nacional e internacional como Blockbuster Video España, Grupo Planeta y El Armario de la Tele.
Ver perfil de Ernesto >>


5 comentarios

Dejar un comentario

Tu dirección de correo electrónico no será publicada.

Socialancer Limited te informa de que los datos de carácter personal que nos proporciones rellenando el presente formulario serán tratados por Socialancer Limited como responsable de esta web. La finalidad de la recogida y tratamiento de los datos personales que te solicitamos es para gestionar los comentarios que realizas en este blog. Legitimación: Consentimiento del interesado. El hecho de que no introduzcas los datos de carácter personal que aparecen en el formulario como obligatorios podrá tener como consecuencia que no podamos atender tu solicitud. Como usuario e interesado te informamos de que los datos que nos facilitas estarán ubicados en los servidores de Raiola (proveedor de hosting de Socialancer Limited), dentro de la UE. Ver política de privacidad de Raiola. Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en editorial@socialancer.com así como el derecho a presentar una reclamación ante una autoridad de control. Puedes consultar la información adicional y detallada sobre Protección de Datos en nuestra página web: https://www.socialancer.com, así como consultar nuestra política de privacidad.