Guías prácticas AdministrandoWP.Com
Seguridad en WordPress
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
0
Actualizado a:
20-10-2015
Creado por:
Paul Benítez
Para:
Contenido
of: 60
AdministrandoWP.com
Pág.
1
DEDICATORIA ................................................................................................................................ 2
2
INTRODUCCIÓN ............................................................................................................................. 2 2.1
3
¿QUÉ TE PUEDE SUCEDER SI ALEGREMENTE DESCUIDAS LA SEGURIDAD DE TU WORDPRESS? .................... 2
PROTEGIENDO TU WORDPRESS ............................................................................................... 5 3.1 CONTRATAR UN HOSTING PROFESIONAL Y DE CONFIANZA ..................................................................... 5 3.2 REALIZAR COPIAS DE SEGURIDAD Y AUTOMATIZARLAS ........................................................................... 7 3.2.1 ¿Tienes un sistema de copias de seguridad automatizado?...................................................... 7 3.2.2 ¿De qué tengo que hacer copias de seguridad? .......................................................................... 7 3.2.3 De acuerdo, ya sé de qué tengo que hacer las copias, ahora ¿cómo las hago y automatizo? 8 3.2.4 ¿Quieres ver en detalle cómo se hacen las copias? .................................................................... 8 3.2.5 ¿Se puede hacer de otro modo? .................................................................................................... 8 3.2.6 ¿Qué pasa si tengo un problema y tengo que emplear mi copia de seguridad? ¿Cómo restauro mi blog o web? .............................................................................................................................. 9
4
MEDIDAS PRÁCTICAS DE SEGURIDAD PARA CONFIGURAR EN TU WORDPRESS .......... 10 4.1 CAMBIA EL USUARIO ADMINISTRADOR POR DEFECTO .......................................................................... 10 4.1.1 ¿Cómo, cuándo y dónde se hace esto? ....................................................................................... 10 4.1.2 Ejemplo práctico. ¿Cuántos intentos de acceso sin éxito se realizan en www.administrandowp.com con el usuario admin? ............................................................................. 11 4.2 EMPLEA CONTRASEÑAS EN CONDICIONES .......................................................................................... 13 4.3 CAMBIA EL PREFIJO DE LAS TABLAS POR DEFECTO................................................................................ 15 4.3.1 ¿Cuándo, cómo y dónde cambio el prefijo?............................................................................... 17 4.3.2 ¿Cómo cambio el prefijo de las tablas con Better WP Security o Ithemes Security?............. 18 4.4 EMPLEA LA CARACTERÍSTICA DE CLAVES ÚNICAS DE AUTENTIFICACIÓN (CLAVES SECRETAS) ...................... 21 4.4.1 Entonces, ¿cuál de los dos archivos tengo que editar? wp-config o wp-config-sample.php 22 4.4.2 Cambia las claves secretas con iThemes Security ..................................................................... 24 4.5 ACTUALIZA TU WORDPRESS ............................................................................................................. 25 4.6 ACTUALIZA TUS PLUGINS Y TEMAS ..................................................................................................... 27 4.7 EMPLEA UN PLUGIN DE SEGURIDAD ................................................................................................... 29 4.7.1 Better WP Security ahora iThemes Security. .............................................................................. 29 4.7.2 Security Ninja. ............................................................................................................................... 30 4.7.3 Wordfence ...................................................................................................................................... 30 4.7.4 AIO WP Security & Firewall Plugin ............................................................................................... 30 4.7.5 BulletProof Security ...................................................................................................................... 30 4.7.6 ¿Qué plugins he probado? ........................................................................................................... 31
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 0 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
1
of: 60
4.7.7 ¿Cuál es mejor? ............................................................................................................................. 31 4.8 EVITA EL SPAM CON EL PLUGIN AKISMET .......................................................................................... 32 4.8.1 ¿Cómo configuro Akismet para que me ayude con el SPAM?.................................................. 33 4.8.2 Ejemplo del trabajo que hace Akismet ....................................................................................... 35 5
OTRAS HERRAMIENTAS DE SEGURIDAD QUE TIENES A TU ALCANCE ............................ 36 5.1 EL ARCHIVO .HTACCESS .................................................................................................................... 36 5.1.1 Las reglas para .htaccess preconfiguradas de perishablepress.com ..................................... 37 5.1.2 5G Blacklist 2013........................................................................................................................... 37 5.1.3 Localiza el archivo htaccess y edítalo ......................................................................................... 38 5.1.4 6G Beta / 6G Firewall .................................................................................................................... 47
6
MI WEB ESTÁ INFECTADA CON MALWARE, ¿QUÉ PUEDO HACER? .................................. 47 6.1 ¿QUÉ PASA SI TENGO MI WEB INFECTADA POR ALGÚN VIRUS, MALWARE O ME LA HAN HACKEADO? ......... 48 6.2 ¿CÓMO PUEDES SABER SI LA COPIA DE BLOG O WEB ESTÁ INFECTADA? ................................................. 50 6.3 ¿QUÉ PROVEEDORES EXISTEN QUE TE AYUDAN A LIMPIAR TU BLOG O WEB? .......................................... 51 6.3.1 Sucuri.net ....................................................................................................................................... 51 6.3.2 ¿Qué ofrece sucuri.net? ................................................................................................................ 52 6.3.3 HackRepair.com ............................................................................................................................ 53
7
¿QUIÉN SOY YO? ........................................................................................................................ 54
8
LÍMITE DE RESPONSABILIDAD ................................................................................................. 56
9
FUENTES ...................................................................................................................................... 57 9.1
10
LISTA DE FUENTES ............................................................................................................................ 57 AVISO ........................................................................................................................................ 58
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 1 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
2
of: 60
1 Dedicatoria A las 2 mujeres de mi vida, Patricia & Sandra. Y para ti, querido lector, por querer prevenir antes que curar, empezando a valorar la seguridad de tu WordPress. Feliz lectura. Ahí va…
2 Introducción Si te has descargado esta guía tengo la sana convicción de que la seguridad de tu WordPress es una de tus preocupaciones por lo que, voy a ir al grano y te voy a mostrar una relación de configuraciones y de plugins junto con unas buenas prácticas que puedes aplicar desde hoy mismo a tu sitio para reducir de forma notable la probabilidad de que tu web sea la protagonista de un compromiso.
A lo que tú me puedes preguntar, ¿a qué compromisos de refieres? A cualquiera de estos que te menciono a continuación, entre otros.
2.1 ¿Qué te puede suceder si alegremente descuidas la seguridad de tu WordPress? Entre otras cosas: 1. Que te introduzcan en tu blog o web la web de un banco para hacer phising o que te intenten engañar mediante phising para que te instales en tu blog un plugin.
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 2 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
3
of: 60
2. Que te borren el blog o la web. 3. Que empleen tu blog para ejecutar ataques DDOS 4. Que hagan SPAM desde tu blog o web. 5. Que te cuelen un programa un programa malicioso (virus, etc) y cada vez que alguien visita tu web o blog dicho programa se instalaba en el ordenador de tu lector o visitante. El caso Javier EN. 6. Que te suceda lo que a David o a Javier. 7. Que te suceda lo que ha Catalina Echeverry (empleando blogger). La prevención es cosa nuestra, independientemente de la herramienta. 8. Otros…
No te puedo dar garantías de que realizando los pasos que te indico en la guía evites al 100% que te veas inmerso en alguno de estos problemas. Garantizártelo sería temerario e imprudente por mi parte ya que la seguridad en la web, como en la vida misma, es un capítulo vivo y en constante evolución.
En cambio, si decides seguir adelante y aplicar lo que te explico en este documento, te puedo asegurar de que reducirás considerablemente la probabilidad de ser el protagonista de cualquiera de las historias que antes te he mencionado.
En esta guía práctica te voy a mostrar unos recursos que están a tu alcance y que puedes implementar desde hoy mismo para mejorar la seguridad de tu blog o web notablemente.
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 3 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
4
of: 60
Lo que te voy a contar incrementará la seguridad de tu sitio, por lo que éste será más seguro y menos propenso a caer en manos de mentes oscuras que quieren aprovecharse de tu sitio web o blog de algún modo u otro.
Mi intención es transmitirte los conocimientos prácticos que yo mismo he adquirido para que tú tengas la certeza de que tu blog (o web) creado con WordPress no se verá comprometido a las primeras de cambio.
Además, si incurres en un compromiso, tendrás la tranquilidad de que no perderás tu trabajo.
Te adelanto que cuando termines de leer y de aplicar los consejos prácticos de esta guía podrás enfocarte en otros asuntos, como:
1. La creación de contenido relevante en tu nicho 2. La creación y estrategia de tu lista de correo 3. La estrategia en redes sociales 4. La estrategia SEO 5. La estrategia de networking 6. Otros asuntos que consideres relevantes para el futuro de tu web o blog
En resumen lo que vas a ver son las configuraciones y herramientas que yo mismo aplico en todos los sitios web o blogs que construyo o en los que colaboro. Hasta la fecha, los WordPress que han pasado por mis manos no han sido objeto de compromiso alguno. Tú puedes conseguir el mismo resultado.
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 4 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
5
of: 60
Nota. Para elaborar esta guía práctica he recopilado información por Internet en distintas fuentes, he tomado consejos recibidos, he consultado en redes sociales y he plasmado mi propia experiencia. Todas las fuentes recopiladas se mencionan al final, en el epígrafe de fuentes. ¡Vamos allá!
3 Protegiendo tu WordPress 3.1 Contratar un hosting profesional y de confianza A la hora de minimizar los riesgos de seguridad para tu blog o sitio web uno de los aspectos a tener en cuenta es el hosting, dicho de otro modo:
¿Qué empresa de hosting me ofrece seguridad y confianza para alojar mi sitio web o blog?
Existen multitud de servicios de hosting y no voy a entrar en el debate sobre cuál es más seguro o menos seguro, cuál es mejor o cuál es peor.
Lo que voy a hacer es proponerte los que en mi experiencia -y en experiencia de personas cercanas- son proveedores de confianza, se preocupan por la seguridad y te puedo recomendar, lo que no significa que, dado el caso, el hosting donde estés actualmente alojado sea inapropiado, de poca confianza o inseguro. Atendiendo a mi experiencia te puedo recomendar:
1. Siteground. En SiteGround tienes a tu servicio una serie de prestaciones adicionales enfocadas a la seguridad de WordPress (auto-actualización Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 5 de 60
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc
Seguridad en WordPress Guía práctica
Edición:
1
Página:
6
of: 60
de WordPress, servidores compartidos seguros, protección de las cuentas de usuarios aislando unas de otras) a la velocidad (servidores y software más potente, repartidos por todo el mundo) y un equipo de especialistas en WordPress a tu disposición (tiempos de respuesta de atención de 15 minutos o menos en sus sistema de tickets, de 10 segundos en llamadas por teléfono y sin apenas esperas en el sistema de chat online).
Además, desde Septiembre de 2015, SiteGround dispone de toda su oferta de servicios en tu idioma.
Puedes leer un completo artículo que he elaborado sobre SiteGround para que entiendas porque yo estoy alojado en este hosting.
2. Webempresa. Puede ser tu hosting de entrada también, su precio es similar a Siteground y también cuentas con un equipo de soporte para WordPress en castellano.
Omar de la Fuente, compañero de blogging y amigo recomienda como primera opción este hosting para sus clientes.
En mis colaboraciones con él he tenido oportunidad de probar el servicio de
Webempresa
y
coincido
en
que
es
un
hosting
altamente
recomendable. Ahora, comparando a los dos, me quedo con SiteGround.
Su precio básico empieza en 5.93 euros/mes al año.
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 6 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
7
of: 60
Cualquiera de estos dos proveedores son una buena alternativa si estás pensando en crearte un blog o una web e incluso si estás pensando cambiarte de hosting. También son empresas de confianza para diseñadores gráficos y web que buscan una alternativa de hosting especializada en WordPress.
Si estás migrando de hosting, te dejo un tutorial ampliado y práctico donde puedes ver paso a paso cómo realizar la migración.
3.2 Realizar copias de seguridad y automatizarlas Tienes tu blog (o web) construido con WordPress, instalado, operativo en tu hosting y recibes cientos, miles de visitas, comentarios a diario y además vendes. Vamos que tienes un blog que es todo un éxito.
3.2.1 ¿Tienes un sistema de copias de seguridad automatizado? Si tu respuesta es no, ya sabes por donde tienes que empezar. Ve al punto 3.2.2 Si tu respuesta es que si, puedes continuar con el punto 4.
3.2.2 ¿De qué tengo que hacer copias de seguridad? 1. De la base de datos de WordPress. 2. De los archivos que componen tu blog o web.
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 7 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
8
of: 60
3.2.3 De acuerdo, ya sé de qué tengo que hacer las copias, ahora
¿cómo las hago y automatizo? Empleando un plugin de copias de seguridad como puede ser BackWPup o UpDraftPlus También puedes emplear Duplicator, aunque éste actualmente no cuenta con la posibilidad de automatizarlas en su versión gratuita.
3.2.4 ¿Quieres ver en detalle cómo se hacen las copias?
Tienes un tutorial sobre BackWPup en este enlace. Aquí tienes otro donde puedes ver como hacerlas y además guardarlas en DropBox. Tienes otro tutorial sobre Duplicator aquí. Y si prefieres UpdraftPlus tienes dos tutoriales a tu disposición. Este y este otro.
3.2.5 ¿Se puede hacer de otro modo? Sí, pero se escapa del ámbito de esta guía. En mi opinión tanto BackWPup como UpdradftPlus cubren correctamente este propósito. Importante. Pregunta a tu proveedor de hosting si realiza copias de seguridad. En caso de que tengas un problema y no tengas tus propias copias, te pueden ser de mucha ayuda. Dependiendo del plan que contrates tienes este servicio operativo o no. En el caso de Siteground y Webempresa tienen planes que incluyen este servicio.
Aunque tu proveedor haga copias por su cuenta, mi consejo es que también hagas las tuyas propias. Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 8 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
9
of: 60
3.2.6 ¿Qué pasa si tengo un problema y tengo que emplear mi
copia de seguridad? ¿Cómo restauro mi blog o web? Imagina que ya tienes algo de pericia, sabes hacer las copias de seguridad de WordPress, las tienes automatizas y resulta que un día tienes un problema.
Tu web no funciona, te la han hackeado, tiene un compromiso, han o has borrado todos los artículos que tenías publicados, has cambiado la plantilla y la has liado parda, en fin, tienes un día negro (créeme lo tendrás) y en ese momento caes en la cuenta de que tienes tus flamantes copias de seguridad. Ya sabes que soy un tipo cauto y precavido. ¡Juas, juas!
¿Por dónde empiezas si tienes un problema que se resuelve con la copia de seguridad? En primer lugar no te pongas nervioso. Si no sabes por dónde empezar se me ocurren dos vías. 1. Twitter es tu amigo y 2. el soporte técnico de tu hosting también. Si tienes claro lo que tienes que hacer, adelante con ello. Si tienes dudas, pregunta.
No se lo que tengo que hacer ¿dónde busco ayuda?
1. El primer lugar es recurrir al soporte técnico de tu proveedor de hosting. 2. En twitter puedes preguntar en 140 caracteres. 3. Puedes leer este tutorial que te puede servir de orientación. ¡Ojo! El tutorial está pensado si estás empleando el plugin BackWPup. Si estás empleando otro plugin u otra herramienta tendrás que conocer dicha herramienta o pedir ayuda en el foro a sus desarrolladores. Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 9 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
10 of: 60
4. Puedes contactar conmigo, contarme tu caso, valoramos el escenario y nos organizamos. a. Si quieres que te resuelva el problema y está a mi alcance, te daré una solución, una estimación de tiempo y los costes para dejarlo como estaba. b. ¿Te parece razonable? Contacta conmigo entonces.
4 Medidas prácticas de seguridad para configurar en tu WordPress 4.1 Cambia el usuario administrador por defecto Cuando instalas WordPress el usuario por defecto que se establece como usuario administrador de tu sitio web o blog es un usuario llamado “admin”, a no ser que decidas lo contrario. Estás en lo cierto, tienes que cambiarlo.
4.1.1 ¿Cómo, cuándo y dónde se hace esto?
En el momento de la instalación lo puedes hacer Durante uno de los pasos de la instalación de WordPress tienes que decidir el nombre del usuario que vas a emplear. Por defecto te propondrá admin. Cámbialo por otro.
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 10 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
11 of: 60
Si ya tienes instalado WordPress.
Crea un nuevo usuario con el perfil de administrador y a continuación modifica el perfil del usuario admin o incluso elimínalo.
4.1.2 Ejemplo práctico. ¿Cuántos intentos de acceso sin éxito se
realizan en www.administrandowp.com con el usuario admin? En la captura de pantalla que te muestro a continuación puedes hacerte una idea aproximada de la cantidad de veces que han intentado acceder a la
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 11 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
12 of: 60
administración de mi blog www.administrandowp.com empleando el usuario admin. Si tienes una web o un blog con WordPress también te pasará a ti.
En la imagen superior ves un registro de la hora, el nombre de usuario y la cantidad de intentos (338). Si bien no se ven todos, te adelanto que en el 95% aproximadamente de los intentos de acceso, el usuario con el que se intenta acceder es el usuario admin.
Esta información la he obtenido con el plugin de seguridad Better WP Security, en la actualidad iThemes Security.
En estos momentos mi web es una web con pocas visitas, no llega a las 4000 visitas al mes y por los registros que tengo, en un día, al menos 10 veces intentan acceder empleando dicho usuario.
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 12 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
13 of: 60
De todos modos, la cantidad de visitas que tenga tu web poco importa. Los intentos de acceso (ataques) los vas a recibir igualmente.
¿Te imaginas que pasaría si dejo mi usuario por defecto como admin y en un “descuido” dejo también la contraseña por defecto admin o una muy sencilla como 123456 o algo parecido? No hace falta que te responda.
Recientemente se ha producido el que hasta la fecha es el mayor ataque de fuerza bruta contra WordPress. Si quieres más detalles pásate por ayudawp.com y léete el artículo relacionado.
De cualquier modo, recuerda curarte en salud y cambiar el usuario admin de WordPress por defecto.
4.2 Emplea contraseñas en condiciones Otra forma de asegurar tu WordPress es emplear contraseñas largas de ocho caracteres al menos, mezclando mayúsculas, minúsculas y números. Si introduces también caracteres especiales mejor aún.
Aquí el tema está en quién es el simpático que consigue memorizarse una contraseña así. No es tarea fácil pero seguro que alguien es capaz. No seré yo.
Para el tema de las contraseñas te recomiendo una herramienta para ayudarte y que personalmente llevo empleando desde hace más de 5 años. Se trata de
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 13 de 60
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc
Seguridad en WordPress Guía práctica
Edición:
1
Página:
14 of: 60
LastPass, una aplicación muy buena tanto para crear todas tus contraseñas como para administrarlas y guardarlas en un lugar seguro.
LastPass se instala como complemento en todos los navegadores, dispone de versión gratuita y de versión de pago. En la versión de pago destaca la disponibilidad para prácticamente todos los smartphones de todas las marcas que hay en el mercado. Su coste, 12 euros al año.
En la siguiente captura de pantalla de LastPass donde puedes ver la herramienta de generación de contraseñas seguras.
1. Botón para generar contraseñas aleatorias. Cada vez que hacer clic sobre el botón se genera una contraseña de 12 caracteres. 2. Barra que te muestra nivel de robustez de tu contraseña. 3. Generará por norma contraseñas con mayúsculas, minúsculas y números. 4. Puedes
configurar
caracteres
especiales en tus contraseñas. Si activas esta opción y generas una nueva contraseña verás que la barra de nivel de robustez mejora. 5. Te dejo un completo tutorial sobre LastPass aquí.
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 14 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
15 of: 60
¡Ahora no podrás decir que no sabes cómo crear una contraseña en condiciones!
4.3 Cambia el prefijo de las tablas por defecto Todo WordPress requiere de una base de datos para funcionar y cada WordPress que se instala en cualquier rincón del mundo tiene las mismas tablas (10 tablas) que tiene el que tú vas a instalar, el que ya has instalado o con el que ya trabajas.
Un apunte, si tienes plugins instalados tendrás más de 10 tablas.
¿Y el prefijo de las tablas que tiene que ver con la seguridad? Te lo explico con otra pregunta. Es un poco gallego, pero…
¿Se pueden instalar varios WordPress en una misma base de datos? Sí. A lo que te formulo la siguiente pregunta.
¿Cómo sabe cada WordPress cuáles son las tablas con las que tiene que trabajar si todos están empleando la misma base de datos? ¿Me sigues?
Mediante el prefijo, un conjunto previo de caracteres que tú elijes y se insertan al principio del nombre de cada tabla de WordPress. Así, se determina que tablas son para una instalación de WordPress y que tablas son para otra. Te lo muestro con una imagen para que lo entiendas mejor.
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 15 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
16 of: 60
En esta imagen lateral lo puedes ver con más claridad:
1. Base de datos llamada wordpress 2. Tablas que componen la base de datos wordpress con el prefijo wp_
¿Cuál es el prefijo que por defecto se emplea en WordPress? Tal y como ves en la imagen, el prefijo es wp_
Me queda claro lo del prefijo de las tablas pero, ¿qué tiene que ver esto con la seguridad? El argumento es sencillo, verás. Al igual que tú sabes esto que te acabo de contar, es decir, que el prefijo por defecto de las tablas de WordPress es el mismo para todos los WordPress al igual que el nombre de sus tablas, las mentes malintencionadas también lo saben y aquí está el problema.
¿Por qué? Porqué más del 18% de las páginas web (cifra en constante crecimiento) que hay por el mundo están construidaas con WordPress. Esta cifra supone un pastel muy grande de sitios webs susceptibles de interés para mentes oscuras que saben que se pueden beneficiar enormemente de los descuidos de seguridad de los usuarios haciéndose con el control de sus blogs o webs.
Dichas mentes pueden emplear este conocimiento para usos inapropiados y tratar de comprometer un gran número de sitios web con fines maliciosos, fines como algunos de los que te he mencionado en la introducción. Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 16 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
17 of: 60
Por tanto, está a tu alcance ponérselo un poco más difícil a las mentes oscuras, ¿cómo? cambiando el prefijo de las tablas de tu WordPress. Te curarás en salud y menos probabilidades tendrás de ver comprometido tu sitio web o blog.
4.3.1 ¿Cuándo, cómo y dónde cambio el prefijo?
Se pueden dar dos casos: 4.3.1.1 Caso (A). Si todavía no has instalado WordPress. 4.3.1.2 Caso (B). Si ya tienes instalado WordPress.
(A) Durante la instalación de WordPress se piden unos datos básicos (1), entre
ellos, el nombre de la base de datos, el nombre de usuario administrador de la base de datos, la contraseña, el host de la base de datos y (2) el prefijo de las tablas. Por defecto, si no tocas nada, el prefijo para todas tus tablas (2) es “wp_”. Ahora es cuando te toca ser el protagonista. Cambia el prefijo.
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 17 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
18 of: 60
Vale, yo soy el protagonista pero ¿qué prefijo tengo que poner? La idea en este punto es que sea poco predecible.
Te dejo unos ejemplos prácticos de prefijos que puedes emplear en tu web o blog.
kmq69un_
ipbn5ig_
pvm6h34v_
hady9j6cn_
gm740vko_
xcal7d0c_ Nota. Todos los prefijos que has visto se han creado empleando una de las funcionalidades del plugin Better WP Security, ahora Ithemes Security. Si no estás inspirado, puedes copiar, pegar y listo.
(B) En el caso de que ya tengas tu WordPress instalado la forma más sencilla que he encontrado (hasta la fecha) de modificar el prefijo de las tablas es empleando una de las funcionalidades del plugin Ithemes Security.
Te explico cómo hacerlo.
4.3.2 ¿Cómo cambio el prefijo de las tablas con Better WP Security o Ithemes Security? Si todavía estas con Better WP Security (ver imagen inferior)
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 18 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
19 of: 60
Seguridad > Prefijo > Cambiar prefijo de las tablas. Cada vez que presionas el botón, éste cambia inmediatamente el prefijo en las tablas de base de datos.
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 19 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
20 of: 60
Si ya trabajas con iThemes Security (ver imagen inferior)
Existen otras formas de cambiar las tablas que no se contemplan en esta guía. Te dejo un par de enlaces relevantes donde se muestran otras maneras si no quieres instalar el plugin, aunque en mi opinión lo más sencillo es emplearlo.
http://ayudawp.com/cambiar-el-prefijo-de-la-base-de-datos-de-wordpress/ http://forobeta.com/tutoriales-de-wordpress/56827-cambiar-prefijo-prefixde-tablas-base-de-datos-wordpress.html
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 20 de 60
Seguridad en WordPress Guía práctica
4.4 Emplea
la
característica
de
claves
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
21 of: 60
únicas
de
autentificación (claves secretas) La característica de claves únicas de autentificación o claves secretas es una prestación que viene de serie desde la versión 2.6 de WordPress que por lo que he observado pasa bastante desapercibida. A partir de ahora no será ningún misterio para ti.
Te explico. Su configuración es manual y con un poco de ayuda, en mi opinión y experiencia, es sencilla de implementar para cualquier usuario de WordPress.
La configuración se resume en editar el fichero de configuración wp-config.php o wp-config-sample.php. Estos archivos los localizas en la carpeta raíz de tu blog.
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 21 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
22 of: 60
4.4.1 Entonces, ¿cuál de los dos archivos tengo que editar? wp-config o wpconfig-sample.php
Se pueden dar dos casos: 4.4.1.1 Si todavía no has instalado tu web o blog la configuración pasa por editar el archivo wp-sample-config.php. 4.4.1.2 Si ya tienes tu web o blog operativo y funcionando tienes que editar el archivo wp-config.php
En cualquiera de los dos casos anteriores, los pasos para configurar estos archivos, y por tanto esta característica, son los siguientes:
1. Te conectas a la web https://api.wordpress.org/secret-key/1.1/salt/ 2. Te aparecerá un sitio como el de la imagen inferior. Copias todas las líneas.
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 22 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
23 of: 60
3. Localiza el archivo wp-config.php o wp-sample-config.php según tu escenario y pegas todas las líneas que has copiado antes. Tienes que sustituir lo que te recuadro en rojo en la imagen inferior -líneas 45 a las 52-.
Con este cambio lo que consigues es fortificar tu WordPress y hacer más difícil la posibilidad de que las mentes oscuras puedan tener acceso a las contraseñas de tus usuarios de la web o blog empleando malas artes.
Entonces, ¿por qué es importante cambiar las claves secretas? Porque mejoran la seguridad de tu WordPress, es una puerta más a las mentes malintencionadas.
Tienes más detalles sobre estas claves en ayudawp.com. y en el blog de Javier Gobea.
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 23 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
24 of: 60
4.4.2 Cambia las claves secretas con iThemes Security
Te hablaré de plugins más adelante y entre ellos de Ithemes Security pero quiero comentarte ahora que con la versión 4.6 de Enero de 2015 de este plugin, el paso para cambiar las claves secretas que te he mencionado antes se ha convertido en una tarea terriblemente sencilla que requiere hacer clic en un botón y listo.
Los tres pasos del punto anterior, resueltos en un clic.
Si te fijas en la imagen siguiente, entenderás a lo que me refiero. Si tienes instalado el plugin en tu WordPress localiza la opción Advanced, a continuación WordPress salts. Marca la casilla de verificación y presiona sobre el botón Change WordPress salts.
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 24 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
25 of: 60
Automáticamente saldrás del panel de administración y tu WordPress de pedirá que vuelvas a introducir tu usuario y contraseña. No te preocupes, es algo totalmente coherente con lo que has hecho. Vuelve a introducir tus datos y listo. No es necesario que vuelvas a enredar con esta opción.
4.5 Actualiza tu WordPress Otra medida de seguridad que está a tu alcance es mantener tu sitio web construido con WordPress actualizado.
O dicho de otro modo, mantener un sitio construido con WordPress desactualizado es una golosina para los malos.
Tomo prestada una frase de sinlios.com: “…las actualizaciones corrigen errores de todo tipo, la mayor parte de las veces funcionales o meramente estéticos, pero en ocasiones estos errores tienen que ver con la seguridad.”
Por tanto, mantener actualizado tu WordPress es una garantía de estar al día en cuanto a los posibles errores de seguridad y si tomas la decisión de no actualizar, tienes que ser consciente de que estarás expuesto a las posibles amenazas derivadas de esos fallos de seguridad no corregidos.
Hasta aquí todo claro, ahora, la propia actualización tiene sus riesgos, por lo que, antes de actualizar ten la precaución de tener hecha una copia de seguridad de tu sitio. Es una práctica que nunca hacemos y luego nos toca llorar. Si te alojas en SiteGround esto no te pasará.
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 25 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
26 of: 60
Una vez tengas los deberes hechos y veas notificaciones para actualizar como las que se muestran en la imagen inferior, mi consejo es que trates de estar al día e instalarlas.
Puede que tengas la experiencia de que al actualizar WordPress alguno de tus plugins o temas dejan de funcionar y ya tienes el lio en casa.
Si has tenido esta experiencia, cada vez que aparece una actualización te preguntas : ¿Espero a tener la certeza de que todos mis plugins son compatibles con la nueva versión? ¿Asumo los riesgos de actualizar?
Tendrás que decidir ser más o menos cauto.
Otra alternativa nada dolorosa que consume algo de tiempo pero que es altamente recomendable es tener un laboratorio de pruebas que sea literalmente un clon real de tu blog.
Llevas a cabo las actualizaciones en el clon de tu WordPress laboratorio y si todo va bien, actualizas tu blog real. Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 26 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
27 of: 60
Si eres diseñador gráfico y web y quieres que te monte un laboratorio de pruebas o colabore contigo como socio técnico contacta conmigo.
Si tienes tu copia de seguridad y sabes restaurarla ágilmente podrías tomar la decisión de instalar la actualización y comprobar que todo sale bien, o no.
Puedes darse dos escenarios:
1. ¡He actualizado y todo funciona perfecto! ¡Ole! o por el contrario, 2. ¡Mierda! ¡La he liado parda y ahora no me funciona ni esto ni lo otro, quien cojo… me manda a mí actualizar!
Puedes también optar por ser cauto, no ser el primero en actualizar y esperar las noticias que se publican tras la nueva actualización. Mientras puedes estar al corriente del trabajo que hacen los desarrolladores de los plugins que tienes instalados en tu blog y atento al momento en que tengas suficiente información sobre su compatibilidad con la nueva versión de WordPress.
Si no hay nada gris, tras pasar un tiempo prudencial, actualiza.
4.6 Actualiza tus plugins y temas El mismo argumento que te expongo para WordPress hay que tenerlo en cuenta también con los plugins y los temas.
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 27 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
28 of: 60
Mantén actualizados tus plugins y temas tan pronto como te sea posible. Huye de plugins que estén desactualizados, de plugins donde el desarrollador no le da continuidad al mismo y donde el soporte no es bueno ni ágil.
Consejo. Nunca instales plugins desactualizados en tu web o blog de fuentes poco confiables. Lo mejor es emplear el repositorio oficial de plugins de WordPress o proveedores que te inspiren confianza, bien sean premium o no.
Al final, se trata de lo bien que te resuelve la vida tal plugin para tal propósito, pero no solo de eso, sino también de las personas que están detrás del desarrollo, soporte y continuidad del mismo.
Dicho de otro modo, si el plugin hace algo bueno por ti, pero las personas que están detrás del mismo no invierten tiempo ni esfuerzo en su mejora y soporte, entonces, en mi opinión ese plugin ya no es tan bueno para ti. Cuidado con esto.
Recuerda que siempre conviene realizar una copia de seguridad antes de ponerte a actualizar los plugins. Recuerda también que otra alternativa es tener tu propio laboratorio de pruebas. Actualizas tus plugin en el laboratorio de pruebas y si todo va bien, actualizas tu blog real (o web) con la certeza de que todo irá bien.
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 28 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
29 of: 60
4.7 Emplea un plugin de seguridad Otra medida que puedes emplear para asegurar tu WordPress es instalar un plugin de seguridad. En mi opinión, altamente recomendable ya que te hace la vida más fácil.
Te enumero cinco plugins de seguridad recomendados. La idea no es instalártelos todos, sino emplear uno. De los mencionados hay dos que destacan por el alto volumen de descargas que tienen, Better WP Security (iThemes Security) y WordFence. En estos momentos rondan los 4 millones de descargas cada uno.
4.7.1 Better WP Security ahora iThemes Security. A punto de llegar a los 4 millones de descargas. El ratio de críticas es de 4.7 sobre 5. Dispones de versión gratuita y de pago premium. Lo puedes descargar desde el repositorio de WordPress.
Te ayuda en la configuración de más de 30 opciones para proteger tu sitio web o blog.
Tienes un tutorial ampliado sobre Better WP Security y un artículo extendido sobre iThemes Security. Si quieres aprender a configurarlo, te recomiendo que te des una vuelta por esos artículos. Si quieres que colabore contigo en su configuración contacta conmigo y lo valoramos.
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 29 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
30 of: 60
4.7.2 Security Ninja. Más de 2700 compras. Tiene un ratio de críticas de 4.51 puntos sobre 5. Lo puedes conseguir en codecanyon.net. Se trata de un plugin de pago muy económico (10$).
4.7.3 Wordfence Más de 4 millones de descargas. Tiene un ratio de críticas de 4.9 sobre 5. Es gratuito con opciones de pago premium. Lo puedes descargar desde el repositorio de WordPress. Tienes un completo tutorial sobre este plugin aquí.
4.7.4 AIO WP Security & Firewall Plugin Descargado más de 600.000 veces. El ratio de críticas es de 4.9 sobre 5. Lo puedes conseguir en el repositorio de WordPress y es completamente gratuito.
A pesar de no haberlo probado hay una opción que me ha llamado la atención y es que te ayuda a configurar en tu blog web las reglas “5G Blacklist” cortesía de “Perishable Press” de las que hablaré más adelante.
4.7.5 BulletProof Security Descargado más de 1 millón de veces. Tiene un ratio de críticas de 4.8 sobre 5. Lo puedes conseguir en el repositorio de WordPress. Es gratuito aunque cuenta con una versión de pago profesional a un coste de 60$.
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 30 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
31 of: 60
4.7.6 ¿Qué plugins he probado?
De todos los plugins anteriores he probado iThemes Security y Wordfence. Te recomiendo su uso.
Si te fijas en las cifras de descarga, entre los dos plugins, en estos momentos alcanzan la friolera de más 8 millones desde el repositorio oficial de WordPress encontrándose ambos en el top 15 de plugins más populares del dicho repositorio.
La interpretación de estas cifras es que estamos ante dos plugins que son auténticos pesos pesados dentro de la comunidad WordPress. La seguridad es un tema al alza que genera mucho interés y relevancia. Cuento con que ésta guía te facilite el suficiente conocimiento para curarte en salud y no ser el próximo en caer en las manos de los que van con malas artes.
4.7.7 ¿Cuál es mejor?
Eterna pregunta. Ni uno ni otro, me explico. Si quieres incrementar la seguridad en tu blog o web creada con WordPress, evitar correr riesgos y no ser el protagonista de alguno de los puntos que te he mencionado en la introducción, cualquiera de los dos plugins es una excelente opción.
Es más, a pesar de no haber probado los otros tres que también te comento, me atrevo a decir que cualquiera de ellos es igualmente una muy buena opción.
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 31 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
32 of: 60
Lo que no te recomendaría si te acabas de adentrar en WordPress y no tienes un perfil técnico es instalar varios plugins de este tipo a la vez, es decir, emplearía uno u otro, pero no varios al mismo tiempo.
Si no tienes soltura en asuntos técnicos y se manifiesta algún problema de incompatibilidad puesto que son herramientas pensadas para lo mismo, no necesariamente complementarias entre sí, es posible que te vieras inmerso en asuntos delicados, por lo que de momento te lo desaconsejo.
En este hilo del foro de WordPress.org se plantea esta posibilidad, tener instalados a la vez Wordfence y Better WP Security. Si te lees el hilo te adelanto que no se observan problemas de incompatibilidad a la vista.
Pues bien, hoy te puedo confirmar que pueden convivir los dos plugins a la vez, es más, en mi caso personal los dos plugins participan de la seguridad de mi blog.
4.8 Evita el SPAM con el plugin akismet Una de los problemas a los que te enfrentas cuando creas tu blog es el SPAM. Akismet es la mejor herramienta hasta la fecha (que yo conozco) para ventilarte de un plumazo el SPAM. Literalmente te olvidas del SPAM con este plugin.
Akismet viene preinstalado en WordPress, lo único que tienes que hacer es activarlo.
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 32 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
33 of: 60
4.8.1 ¿Cómo configuro Akismet para que me ayude con el SPAM? 1. Activa el plugin
2. Activa la cuenta de Akismet
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 33 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
34 of: 60
A continuación tienes que conseguir tu clave API (2). Una vez obtenida, tienes que pegarla en el campo (3) y hacer clic en Usar esta clave. Desde ese momento Akismet se pone en modo trabajo y se encarga del SPAM por ti. ¡Listo!
3. La clave API la obtienes desde la web de Akismet
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 34 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
35 of: 60
4.8.2 Ejemplo del trabajo que hace Akismet
En la imagen inferior tienes una captura de pantalla con 891 comentarios moderados por Akismet en el blog www.administrandowp.com en un momento determinado.
Fíjate en la cantidad de comentarios de spam. Es posible que alguno se haya escapado pero revisarlos todos ya te digo que no viable ni por asomo. Elimínalos todos y a otra cosa.
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 35 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
36 of: 60
5 Otras herramientas de seguridad que tienes a tu alcance 5.1 El archivo .htaccess El fichero htaccess es un fichero del Servidor Web Apache mediante el cual es posible definir distintas directivas que permiten modificar el comportamiento del servidor web posibilitándote argumentos para realizar configuraciones a medida sin necesidad de cambiar el comportamiento general del servidor.
Dicho de otro modo, el archivo htaccess te abre las puertas a un amplio abanico de posibilidades a tu alcance que te ayuda a proteger tu blog de mentes malintencionadas.
Nota. Tu blog construido con WordPress, normalmente, funciona bajo la estela de un servidor Web Apache. Tanto WebEmpresa como Siteground trabajan con servidores Web Apache.
No voy a entrar aquí en detalle sobre todas las posibilidades que ofrece la edición de este archivo, dado que son numerosas y fácilmente da para otra guía práctica. De hecho, tienes este libro a tu dispoción que yo mismo me he comprado para que no se me escape detalle.
Lo que si voy a hacer es presentarte el trabajo de Jeff Starr, un desarrollador de WordPress que durante varios años ha estado creando y perfeccionando unas
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 36 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
37 of: 60
directivas para el archivo htaccess enfocadas proteger nuestro blog de la actividad maliciosa de terceros.
Lo que ha hecho es compartir con el resto del mundo su trabajo, trabajo que ha probado en entornos reales, es decir, con sus clientes y sus proyectos personales.
Este trabajo lo publica abiertamente en su blog perishablepress.com y nos lo deja disponible para descarga.
5.1.1 Las reglas para .htaccess preconfiguradas de perishablepress.com Las reglas preconfiguradas de perishablepress son fruto del trabajo de varios años, por lo que a medida que se han ido realizando cambios en ellas se han creado distintos nombres para el conjunto de las mismas. Las directivas más recientes hasta la fecha son las llamadas 5G Blacklist 2013.
5.1.2 5G Blacklist 2013
Tal y como el mismo Jeff indica en su sitio web y cito literalmente: “The 5G Blacklist is a simple, flexible blacklist that checks all URI requests against a series of carefully constructedHTAccess directives. This happens quietly behind the scenes at the server level, saving resources for stuff likePHP and MySQL for all blocked requests.”
Te lo traduzco a mi manera:
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 37 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
38 of: 60
La lista negra 5G es una simple y flexible que se encarga de filtrar las peticiones URLI mediante una serie muy cuidadosa de directivas definidas en el archivo htaccess. Todo ello se produce silenciosamente en la trastienda, a nivel del servidor, ahorrándonos los recursos de php y de mysql de todas las solicitudes bloqueadas.
Esto es, un “cortafuegos” para todo tipo de actividad maligna que se pone en marcha en nuestro servidor web Apache.
Tenemos por tanto, unas reglas prefabricadas, fruto del trabajo de años de experiencia de un desarrollador web especializado en WordPress que las emplea en blogs y páginas web protegiéndolos en modo silencioso sin dar problemas… y digo yo, ¿qué hacemos que no las estamos empleando?
Pues eso, que te muestro a continuación qué es lo que tienes que hacer y cómo para que tu blog –o web- también se pueda beneficiar de este trabajo.
5.1.3 Localiza el archivo htaccess y edítalo
Una forma de acceder al archivo htaccess de tu blog o web es emplear el administrador de archivos que viene por defecto en tu cpanel o emplear un programa FTP como filezilla.
5.1.3.1 Localizar archivo htaccess mediante administrador de archivos
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 38 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
39 of: 60
Accede a tu cpanel, localiza el epígrafe de archivos y haz clic en el administrador de archivos. Localiza la carpeta “public_html” y navega por los archivos hasta encontrar el archivo htaccess.
Al presionar sobre el icono “Code Editor” accedes a la herramienta de edición y ves el contenido del archivo.
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 39 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
40 of: 60
Nota. Doy por hecho que en tu WordPress, en el Menu Ajustes / Enlaces permanentes tienes configurada una opción distinta a la predeterminada, si hacemos un guiño al SEO, y a lo aprendido en Quondos,
la estructura
personalizada o el nombre de la entrada es la mejor opción.
Te digo esto porque a lo mejor es posible que no veas un archivo htaccess. Confío que no sea tu caso. Si es así, tan solo, configura los enlaces permanentes con una opción distinta a la predeterminada en tu WordPress y verás que te aparece el archivo.
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 40 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
41 of: 60
5.1.3.2 Localizar archivo htaccess mediante FileZilla
En el caso de que optes por esta opción, descárgate el archivo htaccess a tu ordenador y a continuación te recomiendo que lo trabajes y edites con el programa Notepad++
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 41 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
42 of: 60
Una vez localizado el archivo lo que tienes que hacer es, y cito literalmente lo que indica el autor en su web:
To use: include the entire 5G Blacklist in the root .htaccess file of your site. Remember to backup your original .htaccess file before making any changes. Test thoroughly while enjoying your favorite beverage. If you encounter any issues, please read the troubleshooting tips and/or leave a comment to report a bug. Note: in some cases it may be necessary to place the QUERY STRING rules before WP-permalink rules.
Dicho a mi manera: Copia el contenido completo de las reglas preconfiguradas 5G Blacklist en el archivo raíz de tu sitio. Recuerda hacer una copia de tu archivo original antes de realizar ningún cambio, por si las moscas. Haz pruebas a fondo mientras disfrutas de tu bebida favorita. Si encuentras algún problema, echa un vistazo a los consejos para solucionarlos y/o deja un comentario para informarme de un error. Nota. En algunos casos puede ser necesario colocar las reglas relativas a “Query String” antes que las reglas “WP-Permalink”
Esto es, literalmente, copiar y pegar las reglas que tiene publicadas en su página en el archivo. Guardar los cambios y listo.
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 42 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
43 of: 60
En mi experiencia, te puedo decir que tengo el archivo htaccess editado con estas reglas desde Noviembre de 2013 y hasta la fecha todo ha ido como la seda. No tengo en la chistera ningún episodio oscuro. ¡Toco madera!
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 43 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
44 of: 60
Te dejo una copia exacta a la que hay publicada en la web de perishablepress en esta guía. Comienza y termina con texto sobreado en amarillo.
# 5G BLACKLIST/FIREWALL (2013) # @ http://perishablepress.com/5g-blacklist-2013/
# 5G:[QUERY STRINGS] <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteCond %{QUERY_STRING} (\"|%22).*(<|>|%3) [NC,OR] RewriteCond %{QUERY_STRING} (javascript:).*(\;) [NC,OR] RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3) [NC,OR] RewriteCond %{QUERY_STRING} (\\|\.\./|`|=\'$|=%27$) [NC,OR] RewriteCond
%{QUERY_STRING}
(\;|\'|\"|%22).*(union|select|insert|drop|update|md5|benchmark|or|and|if) [NC,OR] RewriteCond %{QUERY_STRING} (base64_encode|localhost|mosconfig) [NC,OR] RewriteCond %{QUERY_STRING} (boot\.ini|echo.*kae|etc/passwd) [NC,OR] RewriteCond %{QUERY_STRING} (GLOBALS|REQUEST)(=|\[|%) [NC] RewriteRule .* - [F] </IfModule>
# 5G:[USER AGENTS] <IfModule mod_setenvif.c> Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 44 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
45 of: 60
# SetEnvIfNoCase User-Agent ^$ keep_out SetEnvIfNoCase
User-Agent
(binlar|casper|cmsworldmap|comodo|diavol|dotbot|feedfinder|flicky|ia_archi ver|jakarta|kmccrew|nutch|planetwork|purebot|pycurl|skygrid|sucker|turnit |vikspider|zmeu) keep_out <limit GET POST PUT> Order Allow,Deny Allow from all Deny from env=keep_out </limit> </IfModule>
# 5G:[REQUEST STRINGS] <IfModule mod_alias.c> RedirectMatch 403 (https?|ftp|php)\:// RedirectMatch 403 /(https?|ima|ucp)/ RedirectMatch 403 /(Permanent|Better)$ RedirectMatch 403 (\=\\\'|\=\\%27|/\\\'/?|\)\.css\()$ RedirectMatch 403 (\,|\)\+|/\,/|\{0\}|\(/\(|\.\.\.|\+\+\+|\||\\\"\\\") RedirectMatch 403 \.(cgi|asp|aspx|cfg|dll|exe|jsp|mdb|sql|ini|rar)$ RedirectMatch 403 /(contac|fpw|install|pingserver|register)\.php$ RedirectMatch 403 (base64|crossdomain|localhost|wwwroot|e107\_) RedirectMatch 403 (eval\(|\_vti\_|\(null\)|echo.*kae|config\.xml) RedirectMatch 403 \.well\-known/host\-meta RedirectMatch 403 /function\.array\-rand RedirectMatch 403 \)\;\$\(this\)\.html\( Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 45 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
46 of: 60
RedirectMatch 403 proc/self/environ RedirectMatch 403 msnbot\.htm\)\.\_ RedirectMatch 403 /ref\.outcontrol RedirectMatch 403 com\_cropimage RedirectMatch 403 indonesia\.htm RedirectMatch 403 \{\$itemURL\} RedirectMatch 403 function\(\) RedirectMatch 403 labels\.rdf RedirectMatch 403 /playing.php RedirectMatch 403 muieblackcat </IfModule>
# 5G:[REQUEST METHOD] <ifModule mod_rewrite.c> RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK) RewriteRule .* - [F] </IfModule>
# 5G:[BAD IPS] <limit GET POST PUT> Order Allow,Deny Allow from all # uncomment/edit/repeat next line to block IPs # Deny from 123.456.789 </limit>
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 46 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
47 of: 60
5.1.4 6G Beta / 6G Firewall
Como te decía con anterioridad, la seguridad como la vida misma evoluciona constantemente, en este sentido, la continuación de las reglas prefabricadas 5G blacklist 2013 tienen su continuidad en el proyecto 6G beta, es decir, en fase de construcción aún pero más cerca.
En esta web tienes todos los detalles. Estaremos pendientes del resultado del trabajo.
6 Mi web está infectada con malware, ¿qué puedo hacer? Todos los puntos anteriores que te he mencionado van encaminados a prevenir el hecho de tener un problema pero, ¿qué pasa ti ya tengo el problema encima de la mesa? ¿qué pasa si tengo mi web infectada por algún virus o malware? ¿Qué pasa si me han hackeado la web? En ese caso, ¿qué puedo hacer?
Si tu web está infectada es probable que -si no te has dado cuenta tu antes- tus visitantes o seguidores te alerten (vía twitter, mail, etc) del problema, en ocasiones, el antivirus del ordenador puede hacer saltar la alarma y en otros casos es más evidente y Google puede mostrar a tus visitantes un cartel maravilloso como este:
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 47 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
48 of: 60
Si en los resultados de búsqueda Google muestra este cartel, la broma puede ser bastante agravante porque puedes empezar a perder visitas, muchas visitas. Cuando más tiempo tardes en resolverlo más perdida de tráfico tendrás. ¿Cuánto cuesta tener tu sitio bloqueado? ¿Cuánto cuesta el daño a tu imagen? Seguro que puedes hacerte una idea del coste que tiene una situación como esta.
6.1 ¿Qué pasa si tengo mi web infectada por algún virus, malware o me la han hackeado? Evitando en la medida de lo posible entrar en modo pánico, en el caso de que tu blog -o web- este infectado con malware u otro tipo de herramienta maliciosa o te lo hayan hackeado, lo más sensato que puedes hacer es:
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 48 de 60
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc
Seguridad en WordPress Guía práctica
Edición:
1
Página:
49 of: 60
1. Cambia todas las contraseñas de inmediato. La contraseña de acceso FTP
(recuerda
emplear
siempre
FTP
en
modo
cifrado),
email,
administración de tu blog... ¿Es posible que tu ordenador tenga algún bichito? Pasa el antivirus y asegúrate de que tu PC no es el problema. 2. Tratar de determinar cuándo te han infectado la web. En el caso de que tengas un cartel como el que te he mostrado antes es muy aconsejable que estés dado de alta en las herramientas de Google para Webmasters. Esta herramienta es de ayuda dado que te notifica, aproximadamente, de la fecha de la infección. Además, con esta herramienta puedes avisar a Google cuando el problema esté resuelto para que lo revise y retire el cartel maravilloso. Así no alarmas a tus visitantes. 3. A continuación, trata de restaurar una copia de seguridad de tu blog de tu blog anterior a la infección. Si tienes automatizadas tus copias y las haces de forma recurrente este paso debería ser fácil. Ojo, verifica que la copia no esté infectada. Aunque te pueda parecer raro, esto pasa. 4. Si no tienes copias de seguridad de tu blog, contacta con tu proveedor de hosting. Es posible que ellos tengan copias de seguridad y te ayuden a restaurarla. 5. Tras restaurar la copia, verifica que todo es correo. En caso de que no sea así, tu copia de seguridad está comprometida y lo mejor es pasar al punto 6 o al 7. 6. En profundidad: a.
Mi artículo sobre como desinfecté un sitio al completo paso a paso
7. Contrata un servicio especializado.
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 49 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
50 of: 60
6.2 ¿Cómo puedes saber si la copia de blog o web está infectada? Haciendo un escáner en cualquiera de estos sitios 1. http://www.virustotal.com 2. http://sitecheck.sucuri.net 3. http://www.avgthreatlabs.com/website-safety-reports/ 4. http://safeweb.norton.com
O mediante evidencias que no dejan lugar a dudas, como esta:
Si no sabes ni cómo ni cuándo te han infectado la web, si no tienes copias de seguridad o, en caso de tenerlas no sabes restaurarlas, ni tampoco sabes verificar si están infectadas, entonces querido lector, tendrás que rascarte el bolsillo y contratar un servicio especializado.
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 50 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
51 of: 60
6.3 ¿Qué proveedores existen que te ayudan a limpiar tu blog o web? 6.3.1 Sucuri.net Se trata de una empresa especializada en limpiar tu web de virus y/o malware (programas maliciosos) y de sacarte de sacarte de las listas negras.
Si Google muestra el cartel maravillo cuando la gente visita tu blog –o web-, entonces, estás en la lista negra de sitios web y blogs peligrosos. Una vez lo limpies, tendrás que decirle a Google: “¡ea! ¡Que ya he limpiado mi sitio, revísalo, sácame de la lista negra y quítame el cartel maravilloso majo! Si contratas el servicio de sucuri.net, este trabajo lo hacen por ti.
Adicionalmente, al contratar el servicio, se encargan de monitorizar tu blog o web para tratar de evitar que se vea comprometido una vez más, es decir, acto seguido de tener el problema se meten de lleno en evitar que te vuelva a suceder. Prevenir siempre es mejor que curar pero como no siempre actuamos conforme a las buenas prácticas, lo normal es que tengamos que curar.
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 51 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
52 of: 60
6.3.2 ¿Qué ofrece sucuri.net?
Remoción y Limpieza de Páginas Ilimitadas
Verificaciones Automáticas de Malware & Hacks
Verificación de Listas Negras & Monitoreo
Bloquee a los Hackers con ayuda de nuestro Firewall de Sitios Web
Protección contra Denegación de Servicio Avanzada (DDoS)
SSL & PCI Compliance
Dispones de los planes: Básico, Pro y Business
Hasta la fecha no he tenido la necesidad de hacer uso de los servicios de Sucuri ya que no he tenido ningún episodio oscuro y en caso de producirce tengo las herramientas y la pericia suficiente para darle solución.
Si no es tu caso y los planes de acción o contingencia no te resultan, no dudaría en contratarlos. También puedes contactar conmigo.
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 52 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
53 of: 60
6.3.3 HackRepair.com HackRepair.com es una alternativa a sucuri.net ofrecida por Jim Walker, un experto en seguridad web afincado en California. Ofrece un servicio de limpieza de tu sitio web con resultados visibles en cuestión de horas. También hace el ejercicio de sacarte de las listas negras en hasta 24 horas.
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 53 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
54 of: 60
7 ¿Quién soy yo? En primer lugar, muchas gracias por suscribirte a la mi lista de correo y por descargarte esta guía práctica sobre seguridad en WordPress.
Mi intención es hacerte la vida un poco más fácil mostrándote cómo aplicar medidas de seguridad prácticas y útiles para tu blog –o web- construido con WordPress con el sano propósito de que evites que sea hackeado a las primeras de cambio.
Mi nombre es Paul Benítez y vivo en Madrid con mi mujer y mi hija de 10 años.
A finales de Diciembre de 2012 tras muchas vueltas con Joomla y siguiendo los consejos de Franck Scipion, decidí empezar a aprender todo lo que estuviese a mi alcance sobre WordPress con la sana intención de compartirlo contigo, darme a conocer y comenzar a generar ingresos pasivos ofreciendo valor alrededor de esta herramienta.
Con esos objetivos en mente, le di un giro de 180 grados a la temática de mí blog www.tecnofilos.net, hoy www.admistrandowp.com, y comencé a escribir artículos prácticos, guías y tutoriales con el propósito de enseñarte a crear, administrar, mantener, acelerar y con esta guía, a proteger tu blog -o webconstruido con WordPress con el fin de ahorrarte tiempo y dinero.
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 54 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
55 of: 60
Desde Agosto de 2013 escribo para:
Ayudar a las personas que se inician en WordPress, por ejemplo, están en la fase de que quieren aprender a crearse un blog -o una web-.
Ayudar a las personas que ya cuentan con un blog -o web- con WordPress, por ejemplo, publicando artículos sobre plugins, temas, migraciones de hosting, mejorar la seguridad, mejorar la velocidad de carga…
Ayudar a las personas que carecen de un perfil técnico, piensan que no tienen destreza suficiente, la tecnología les bloquea, piensan que no tienen el control de su blog y que están faltos de la pericia necesaria para mantenerlo, administrarlo y personalizarlo.
Abrirme puertas colaborando con diseñadores gráficos y web que emplean WordPress como gestor de contenidos.
Mi intención es aportar luz para que superes la barrera tecnológica, pierdas el miedo y consigas tener el control suficiente de tu blog o web en todo momento ahorrándote tiempo y dinero. Por lo pronto, si aplicas lo que explico en esta guía tendrás un blog mucho más seguro.
Al fin y al cabo WordPress es una herramienta tecnológica, una aplicación web que te ayuda y en el propósito de construir tu blog o web solo que, en determinados escenarios exige una pericia técnica que quizás no tengas, no hayas adquirido aún o sencillamente no te apetezca adquirir y prefieras delegar ese trabajo en otra persona.
Contacta conmigo y valoramos como podemos colaborar juntos. Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 55 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
56 of: 60
Si quieres saber más sobre mi: Perfil en linkedin Perfil en Google+ Visita mi página quien soy
8 Límite de responsabilidad Esta guía se proporciona tal cual, con la sana intención de ayudar a los usuarios responsables y administradores de sus blogs o sitios web creados con WordPress a protegerlos contra actividades maliciosas. Mediante el uso de esta guía, asumes todo el riesgo y responsabilidad de lo que pueda suceder, sea bueno o malo.
He hecho todo lo posible para escribir todos los contenidos de esta guía de forma precisa, transparente y honesta pensando en ayudarte a mejorar la seguridad de tu WordPress. Si lo que lees en la guía no te resulta de fácil aplicación, tienes dudas, o no te ves seguro, por favor, aplica el sentido común y no intentes hacer algo que pueda mermar su funcionamiento de tu blog o sitio web.
Si tienes dudas al aplicar algún punto o directamente no sabes cómo aplicarlo, contacta conmigo para tratar de ver cómo podemos colaborar juntos.
Si observas algún error en la guía, dato incorrecto y crees que debería ser corregido, por favor, házmelo saber para modificarlo. ¡Muchas gracias!
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 56 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
57 of: 60
9 Fuentes Esta guía, aparte de mi propia experiencia, ha sido posible gracias a la recopilación de información desde diferentes fuentes, páginas y blogs de Internet. Desde aquí mi agradecimiento a todos ellos por compartir tanta y tan buena información.
9.1 Lista de fuentes
http://www.cws-tech.com/es/la-seguridad-de-wordpress/
http://www.securitybydefault.com/2013/04/moddynip-como-protegerwordpress-de.html
http://isocialweb.com/como-instalar-wordpress-correctamente-para-seo-yseguridad/
http://wordpress.org/support/topic/set-up-a-secret-key-in-wordpress-25
http://www.forosdelweb.com/f118/para-que-sirve-auth_key-secure_auth_keylogged_in_key-etc-673355/
http://forobeta.com/tutoriales-de-wordpress/131973-seguridad-wordpress.html
http://www.webempresa.com/blog/item/1390-protege-y-bloquea-el-dashboardde-wordpress-con-Latch-de-eleven-paths.html
https://github.com/ElevenPaths/Latch-plugin-wordpress
http://www.decidetunube.com/ponle-un-pestillo-tu-blog/
http://www.haciaelautoempleo.com/backwpup-copias-de-seguridad-wordpress/
http://ayudawp.com/ataque-masivo-de-fuerza-bruta-contra-wordpress-estaspreparado/
http://sinlios.com/blog/2014/01/16/cuando-y-como-actualizar-wordpress/
http://perishablepress.com/5g-blacklist-2013/
http://blog.elevenpaths.com/2014/02/guias-detalladas-de-instalacion-de.html
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 57 de 60
Seguridad en WordPress Guía práctica
Documento: Guía-prácticaseguridad-enwordpress_final_v7.doc Edición:
1
Página:
58 of: 60
http://www.webempresa.com/blog/item/1390-protege-y-bloquea-el-dashboardde-wordpress-con-Latch-de-eleven-paths.html
http://wordpress.org/plugins/bulletproof-security/
https://wordpress.org/plugins/better-wp-security/
https://wordpress.org/plugins/wordfence/
https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/
http://codecanyon.net/item/security-ninja/577696
http://www.uncommunitymanager.es/identidad-digital/
http://www.mamatambiensabe.com/2013/02/madres-blogueras-cuidado-nosatacan.html
http://dulciaolivari.com/nuestro-blog-libre-de-riesgo/
http://javiergomez.eu/sucuri-cinco-consejos-evitar-google-blacklist-malwarebloqueo/
http://ayudawp.com/claves-secretas-wordpress/
http://codex.wordpress.org/Editing_wp-config.php#Security_Keys
10 Aviso Esta guía práctica ha sido producida con pasión y sudor por Paul Benítez, así que, por favor:
No copies partes de este la guía y las publiques en tu blog o web, con o sin atribución/créditos.
No publiques esta guía práctica, eBook, en plataformas gratuitas.
Gracias por tu comprensión y colaboración.
Guía-práctica-seguridad-en-wordpress_final_v7.doc
www.administrandowp.com
pág. 58 de 60