Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Para: AdministrandoWP.com
Contenidos
1 INTRODUCCIÓN .............................................................................................................................. 2
1.1 ¿QUÉ ES LO QUE QUIERES EVITAR A TODA COSTA? ................................................................................ 3
1.2 ¿POR QUÉ ES IMPORTANTE LA SEGURIDAD DE TU WORDPRESS? ............................................................ 5
2 PROTEGE TU ACTIVO DIGITAL, PROTEGE TU WORDPRESS.......................................................... 5
2.1 APLICA EL SENTIDO COMÚN................................................................................................................ 5
2.2 CONTRATA UN HOSTING PREOCUPADO POR LA SEGURIDAD ................................................................... 6
2.3 ¿QUÉ OTROS PROVEEDORES DE HOSTING TE PUEDO RECOMENDAR? ...................................................... 8
2.3.1 Webempresa ............................................................................................................................ 8
2.3.2 FastComet ................................................................................................................................. 9
2.4 REALIZA COPIAS DE SEGURIDAD Y AUTOMATÍZALAS ............................................................................... 9
2.4.1 ¿Tienes un plan de copias de seguridad? ............................................................................. 9
2.4.2 ¿De qué tengo que hacer copias de seguridad? .................................................................. 9
2.4.3 ¿Cómo las hago y automatizo?............................................................................................. 10
2.4.4 ¿Alternativas? .......................................................................................................................... 10
2.4.5 ¿Qué pasa si tengo un problema y tengo que emplear mi copia de seguridad? ¿Cómo
lo hago? ................................................................................................................................................ 10
3 FORTALECE TU WORDPRESS. MEDIDAS PRÁCTICAS PARA IMPLEMENTAR HOY MISMO ........ 11
3.1 CAMBIA EL USUARIO ADMIN COMO ADMINISTRADOR POR DEFECTO ..................................................... 11
3.1.1 ¿Cómo, cuándo y dónde se cambia? ................................................................................... 11
3.1.2 ¿Cuántos intentos de acceso se realizan en www.administrandowp.com con el
usuario admin? ................................................................................................................................... 12
3.2 EMPLEA CONTRASEÑAS ROBUSTAS .................................................................................................... 14
3.2.1 Vale y ¿qué es una contraseña robusta? ............................................................................ 14
3.3 MODIFICA EL PREFIJO DE LAS TABLAS DE WORDPRESS “WP_” ............................................................... 15
3.3.1 ¿Cómo y dónde cambio el prefijo? ...................................................................................... 17
3.4 ACTIVA LAS CLAVES SECRETAS DE WORDPRESS ................................................................................... 18
3.4.1 ¿Cómo activo las claves secretas?........................................................................................ 18
3.5 ACTUALIZA TU WORDPRESS ............................................................................................................. 20
3.6 ¿CUÁNDO ACTUALIZO? .................................................................................................................... 21
3.7 ACTUALIZA TUS PLUGINS Y TEMAS ..................................................................................................... 22
3.8 EMPLEA UN PLUGIN DE SEGURIDAD ................................................................................................... 23
3.8.1 iThemes Security .................................................................................................................... 24
3.8.2 Wordfence............................................................................................................................... 25
3.8.3 AIO WP Security & Firewall Plugin ....................................................................................... 26
3.8.4 NinjaFirewall ........................................................................................................................... 27
3.9 EVITA EL SPAM CON EL PLUGIN AKISMET .......................................................................................... 28
3.9.1 ¿Cómo configuro Akismet para que me ayude con el SPAM? ......................................... 28
Edición: 11
Página: 1 of: 50
7 RECURSOS ..................................................................................................................................... 46
7.1 HOSTING ........................................................................................................................................ 46
7.2 LIBROS ........................................................................................................................................... 46
7.3 CURSOS .......................................................................................................................................... 46
7.3.1 Descuentos de los que te puedes beneficiar ..................................................................... 46
7.4 SERVICIOS ....................................................................................................................................... 47
8 CHECKLIST – PROTEGE TU WORDPRESS ..................................................................................... 48
Edición: 11
Página: 2 of: 50
1 Introducción
Este ebook está pensado para personas encargadas de administrar sitios web
hechos con WordPress como emprendedores digitales -normalmente
unipersonales-, dueños de un negocio online y diseñadores web.
Quiero que te animes a llevar a cabo lo que aquí se explica sin temores a meter
la pata, sintiéndote más confiado y más seguro con una herramienta que vas a
emplear durante mucho tiempo, WordPress.
¡Vamos allá!
Edición: 11
Página: 3 of: 50
Todos estos ejemplos muestran como un tercero toma el control de tu web sin
tu consentimiento para aprovecharse y obtener algún tipo de beneficio,
normalmente económico.
Imagino que sabes que los que van con malas intenciones siempre tratan de
beneficiarse de aquellos que no ponen unas mínimas medidas de seguridad, es
más, incluso poniéndolas te puedes ver perjudicado, pero ten por seguro que en
mucha menor medida.
En ese sentido no te puedo dar garantías de que materializando todo lo que aquí
vas a leer y poner en práctica te va a proteger al 100% de cualquier problema de
seguridad que pueda afectar a tu web.
Edición: 11
Página: 4 of: 50
Creo que el coste de leer y aplicar lo que te indico en este ebook es muy inferior
al coste -no solo económico- que te puede suponer tener que lidiar con una
infección real.
Como ves hay numerosos temas para abortar que requieren tiempo y
dedicación.
Edición: 11
Página: 5 of: 50
Edición: 11
Página: 6 of: 50
Luego aquí no voy a entrar en el debate sobre cuál es más o menos segura, cuál
es mejor o peor porque esto se puede poner calentito y no es mi propósito en
absoluto.
Edición: 11
Página: 7 of: 50
Si ojeas los enlaces que te he mostrado arriba de casos reales es probable que
llegues a la misma conclusión que llegué yo.
Este último punto me dió un extra de confianza para decantarme por ellos frente
a otros. Sinceramente sabiendo esto, yo duermo más tranquilo.
Edición: 11
Página: 8 of: 50
Nota. Puedes leer un completo artículo sobre SiteGround para que conozcas el
resto de razones por las que estoy alojado en este hosting.
2.3.1 Webempresa
Aunque pueda parecer raro, tengo que decirte en primer lugar que Webempresa
me gusta menos que SiteGround, a pesar de que soy buen conocedor de su
servicio y sé que están muy comprometidos con la seguridad de sus clientes.
El caso es que, a pesar de todo lo bueno que tiene, a mí me puede por encima
de todo una cosa, el poco espacio en disco que ofrecen en sus planes de hosting
compartidos y esa razón es crítica para mí, por lo que siempre optaré por
SiteGround si esto no cambia.
Quédate con la idea de que estos dos proveedores son una excelente opción si
estás valorando alojar tu sitio web en un hosting comprometido con la seguridad
de tu negocio online.
Edición: 11
Página: 9 of: 50
2.3.2 FastComet
Otro proveedor que me causa muy buenas sensaciones y que estoy estudiando
es FastComet por tener muchas similitudes con SiteGround pero a la mitad de
precio de éste.
No tengo aún nada escrito con más detalles sobre FastComet por lo que dejo a
tu criterio que optes por esta empresa de hosting eso sí, me gustará que me
mantengas al corriente y si necesitarás ayuda con alguna cuestión técnica te
invito a contactar conmigo para tratar de orientarte. Será un placer.
Edición: 11
Página: 10 of: 50
Tienes un tutorial sobre BackWPup en este enlace. Aquí tienes otro donde
puedes ver como hacerlas y además guardarlas en DropBox.
2.4.4 ¿Alternativas?
En caso de que tengas un problema y no tengas tus propias copias, las copias del
proveedor te pueden salvar el culo. Te acordarás de mí y de esto que te digo.
Es muy bueno tener la certeza de que cuentas con esta alternativa, a pesar de
ello, soy de la opinión de que es una mejor práctica hacer también copias de
seguridad por tu cuenta.
Edición: 11
Página: 11 of: 50
Una de las cosas más sensatas que puedes hacer desde un punto de vista de la
seguridad es cambiarlo.
Edición: 11
Página: 12 of: 50
Edición: 11
Página: 13 of: 50
En estos momentos mi web es una web con pocas visitas, no llega a las 4000
visitas al mes y por los registros que tengo al menos 10 veces al día intentan
acceder empleando dicho usuario.
De todos modos, la cantidad de visitas que tenga tu web poco importa. Los
intentos de acceso (ataques en sí mismos) los vas a recibir igualmente.
¿Te imaginas que pasaría si dejas tu usuario por defecto como admin y en un
“descuido” dejas también la contraseña por defecto admin o una muy sencilla
como 123456 o algo parecido? No hace falta que te responda.
Edición: 11
Página: 14 of: 50
Si en una de estas el ataque tiene éxito y dan con una combinación que da
acceso a la administración pues te puedes imaginar el resto, ¿no?
Por eso te recomiendo LastPass, una aplicación muy recomendable tanto para
crear todas tus contraseñas como para administrarlas y guardarlas en un lugar
seguro.
Edición: 11
Página: 15 of: 50
Edición: 11
Página: 16 of: 50
Con este conjunto de caracteres se identifica que tablas de una base de datos
pertenecen a determinada instalación de WordPress y que tablas a otra.
De aquí puedes deducir que una misma base de datos puede contener tablas de
diferentes instalaciones de WordPress y cada uno de ellos es independiente del
resto.
Me queda claro lo del prefijo de las tablas, pero ¿qué tiene que ver
esto con la seguridad?
Edición: 11
Página: 17 of: 50
¿Por qué?
Porqué más del 18% de las páginas web (cifra en constante crecimiento y dato
del año 2013) que hay por el mundo están creadas con WordPress y
determinados tipos de ataques tienen como objetivo acceder a la base de datos
y en ese sentido, en muchas ocasiones estos ataques enfocan sus esfuerzos en
tablas con el prefijo “wp_”.
Por tanto, está a tu alcance ponérselo un poco más difícil a las mentes oscuras
cambiando el prefijo.
Una forma sencilla que tienes para modificar el prefijo de las tablas es emplear
una de las funcionalidades del plugin Ithemes Security.
Edición: 11
Página: 18 of: 50
Una forma sencilla de hacerlo consiste en emplear una funcionalidad que viene
de serie con el plugin de seguridad iThemes Security.
Edición: 11
Página: 19 of: 50
Edición: 11
Página: 20 of: 50
En este punto lo que tienes que hacer es marcar la opción “Cambiar las salts de
WordPress” como te indico en la imagen inferior y “guardar ajustes”.
Edición: 11
Página: 21 of: 50
Los que van con malas intenciones se aprovechan muy rápido de los fallos de
seguridad no corregidos. Espero que lo reconsideres y permanezcas atento a las
actualizaciones de tu WordPress.
Edición: 11
Página: 22 of: 50
La idea es la misma, mantén siempre actualizados tus plugins y tema tan pronto
como te sea posible. Huye de plugins que estén desactualizados, de plugins
donde el desarrollador no le dé continuidad al mismo y donde el soporte no sea
bueno ni ágil.
Edición: 11
Página: 23 of: 50
¿Por qué?
Por qué básicamente te hace la vida más fácil a la hora de materializar un buen
número de configuraciones invirtiendo un tiempo razonable.
Eso sí, no inviertes tiempo ni esfuerzo en detalles técnicos que a priori, son
irrelevantes en tu propósito porque el plugin ya se encarga de ello, en cambio, sí
que has de invertir algo de tiempo en aprender a dominar su configuración, que
por otro lado será más factible.
• iThemes Security
• Wordfence
• AIO WP Security & Firewall Plugin
• NinjaFirewall (solo para emprendedores con marcado perfil técnico)
Edición: 11
Página: 24 of: 50
Edición: 11
Página: 25 of: 50
3.8.2 Wordfence
Este plugin contiene un motor interno dedicado al rol de antivirus y otro motor
interno dedicado al rol de firewall (corta-fuegos).
Edición: 11
Página: 26 of: 50
Edición: 11
Página: 27 of: 50
3.8.4 NinjaFirewall
Edición: 11
Página: 28 of: 50
1. Activa el plugin
Edición: 11
Página: 29 of: 50
A continuación tienes que conseguir tu clave API (2). Una vez obtenida, tienes
que pegarla en el campo (3) y hacer clic en Usar esta clave.
Desde ese momento Akismet se pone en modo trabajo y se encarga del SPAM
por ti. ¡Listo!
Edición: 11
Página: 30 of: 50
Edición: 11
Página: 31 of: 50
Nota. Ten presente que tu activo digital normalmente funciona bajo la capota de
un servidor Web Apache. Así es tanto en WebEmpresa como SiteGround. Si tu
proveedor funciona con nginx, con iis u otro que no sea Apache puedes obviar
por completo este capítulo del ebook.
Edición: 11
Página: 32 of: 50
Las directivas más recientes hasta la fecha son las llamadas 6G Firewall 2017.
Mi traducción:
Edición: 11
Página: 33 of: 50
Las directivas 6G Firewall son unas reglas para el archivo htaccess que tienen
como misión frenar toda actividad maliciosa dirigida contra tu activo digital y
éstas operan bajo el motor del servidor web Apache, es decir, son
independientes a WordPress.
Tenemos, por tanto, unas reglas prediseñadas, fruto del trabajo de años de
experiencia de un desarrollador web especializado en WordPress que las emplea
en todos sus blogs y páginas web sin dar ningún problema.
A continuación, te muestro lo que tienes que hacer y cómo para que tu activo
digital también se pueda beneficiar de este trabajo.
Edición: 11
Página: 34 of: 50
Edición: 11
Página: 35 of: 50
Edición: 11
Página: 36 of: 50
Una vez localizado el archivo lo que tienes que hacer es, copiar y pegar las reglas
que tiene publicadas en su página en el archivo. Guardar los cambios y listo.
Edición: 11
Página: 37 of: 50
1. El coste económico de cifrar tu sitio web (pasar de http a https) pasa a ser
cero
2. No tienes que estar preocupándote de renovar y reconfigurar el
certificado anualmente
3. Todas las comunicaciones con tu sitio web estarán cifradas, al igual que el
acceso a la administración de tu sitio web por lo que la seguridad global
de tu sitio se incrementará
4. Google valorará con buenos ojos que tu sitio funcione bajo https, lo que
puede redundar en un mejor SEO
5. Si estás pensando en vender en tu sitio web y quieres emplear un medio
de pago como Stripe necesitas funcionar bajo https
6. Podrás habilitar el protocolo de Internet http2 lo que redunda en que tu
web obtendrá unos tiempos de carga mejores.
Te dejo un video de apoyo paso a paso para que veas como se configura tu sitio
web bajo https con el proveedor SiteGround.
Te dejo otro video de apoyo paso a paso para que veas como se configura con el
proveedor Webempresa.
Edición: 11
Página: 38 of: 50
Si tu web está infectada es probable que -si no te has dado cuenta tu antes- tus
visitantes o seguidores te alerten (vía twitter, mail, etc) del problema, en
ocasiones, el antivirus del ordenador puede hacer saltar la alarma y en otros
casos es más evidente y Google puede mostrar un cartel como este al intentar
acceder desde un enlace del buscador.
Edición: 11
Página: 39 of: 50
Edición: 11
Página: 40 of: 50
1. http://www.virustotal.com
2. http://sitecheck.sucuri.net
3. http://www.avgthreatlabs.com/website-safety-reports/
4. http://safeweb.norton.com
Edición: 11
Página: 41 of: 50
• Sucuri
• Nintechnet
• Hackrepair.com
• Wordfence
• Contacta conmigo para hacerte una valoración aproximada. A partir
de 300 euros.
Edición: 11
Página: 42 of: 50
Todas incluyen:
Edición: 11
Página: 43 of: 50
5.2.3 HackRepair.com
La tarifa con la que trabaja Jim comienza a partir de 279 dólares aunque parece
que ha sacado un micro-servicio por 179 dólares si tu web cumple unos
requisitos concretos.
Edición: 11
Página: 44 of: 50
5.2.4 Wordfence
El equipo que está detrás del desarrollo del plugin Wordfence hace no mucho
tiempo sacó un servicio de limpieza de malware del que te puedes beneficiar.
El coste económico es más ajustado que en los casos anteriores. Por 149 dólares
puedes limpiar tu web. Más detalles del servicio aquí.
Edición: 11
Página: 45 of: 50
5.2.5 NinjaRecovery
El equipo de desarrollo del plugin NinjaFirewall cuenta igualmente con un
servicio de limpieza de malware.
6 Límite de responsabilidad
Este ebook se proporciona tal cual, con la intención de ayudar y orientar a
emprendedores digitales dueños de un negocio online y administradores de
WordPress a protegerlos contra las actividades maliciosas que pululan la red.
He hecho todo lo posible para escribir todos los contenidos de forma precisa,
transparente y honesta pensando en ayudarte a proteger tu activo digital.
Edición: 11
Página: 46 of: 50
Si observas algún error, dato incorrecto y crees que debería ser corregido, por
favor, házmelo saber para modificarlo. ¡Muchas gracias!.
7 Recursos
Te resumo y enumero los recursos citados en el ebook para facilitarte su
localización.
7.1 Hosting
• SiteGround
• WebEmpresa
• FastComet
7.2 Libros
• Htaccess
7.3 Cursos
• La Academia de Omar
Edición: 11
Página: 47 of: 50
7.4 Servicios
• Servicio de limpieza de malware de Sucuri
• Servicio de limpieza de malware de Nintechnet.com
• Servicio de limpieza de malware de Wordfence
• Servicio de limpieza de malware de HackRepair.com
• Contacta conmigo si prefieres que yo te ayude en esta labor. A partir de 300
euros.
Edición: 11
Página: 48 of: 50
15.
16.
17.
18.
19.
20.