Wordpress

WordPress es una de las plataformas más populares de la red, con ella funcionan millones de sitios web de todo tipo, desde los blogs más simples, hasta tiendas en línea que gestionan carritos de compra, inventarios y que, además, procesan diferentes métodos de pago. Sin importar el tamaño o el tipo, todos estos sitios están expuestos a diferentes problemas de seguridad que pueden comprometer su integridad de manera parcial o total.

Aunque el equipo de desarrollo de WordPress trabaja de manera constante para hacerlo cada vez mejor y más seguro, ningún sistema, sea cual sea su origen o finalidad, está a salvo de ser atacado y vulnerado, sin embargo, si tomamos las medidas preventivas adecuadas podemos estar un poco más tranquilos a la hora de poner en línea nuestro sitio usando esta plataforma.

Un sitio en WordPress puede ser blanco de diferentes tipos de ataque, así que vamos a repasar los eventos de seguridad más comunes que podríamos enfrentar y las acciones preventivas -o correctivas- que debemos ejecutar en cada caso.

  • Un *Exploit puede ser definido como una porción de código malicioso escrita para aprovechar alguna vulnerabilidad presente en un programa informático o un sistema. La mayoría de estas vulnerabilidades son corregidas a través de parches y actualizaciones de componentes. En este sentido, WordPress como plataforma es bastante segura, pero muchos de los plugins disponibles para ampliar sus funciones pueden ser usados como vía de acceso al tener sus propias brechas de seguridad. Ante este problema, lo mejor es investigar un poco sobre los plugins antes de instalarlos y, si ya están instalados, asegurarnos de que estén actualizados. Si descubres algún bug en un complemento, debes notificarlo al desarrollador para que este pueda corregirlo en la próxima actualización.

  • Uno de los mayores problemas de WordPress es su susceptibilidad a ataques de tipo SQL Injection*, sobre todo en las versiones más antiguas. En general, esta forma de ataque, que aprovecha los formularios presentes en el sitio, es una de las más frecuentes y se emplea con el objetivo de extraer información de la base de datos que permita, posteriormente, realizar ataques más significativos. Una forma de prevenir la inyección de código SQL es agregando el siguiente código http://pastie.org/5101029 al fichero .htaccess correspondiente a la instalación de WordPress.

  • En muchos sentidos, los usuarios representamos una de las mayores vulnerabilidades en una plataforma como WordPress. Usar contraseñas débiles, o en otras palabras, que puedan ser alcanzadas mediante un ataque de fuerza bruta, es un problema bastante común. Incluso las contraseñas más fuertes no sirven de nada si las dejamos anotadas en algún lugar donde puedan ser descubiertas. También es común que muchos administradores de sitios web dejen el nombre de usuario por defecto de WordPress en "admin", si hacemos esto le estamos ahorrando la mitad del trabajo a un potencial atacante. Las recomendaciones en este sentido son: crear contraseñas fuertes, pero que podamos recordar fácilmente sin necesidad de apuntarlas en algún lugar y cambiar el nombre de usuario que trae por defecto la cuenta de administrador. También pueden ser útiles complementos como: Limit Login Attempts o Better WP Security.

  • Si en este punto estás un poco preocupado por la integridad de tu sitio basado en WordPress, te recomiendo utilizar Sucuri SiteCheck, una útil herramienta que escanea tu sitio de manera remota en búsqueda de posibles vulnerabilidades y, además, ofrece soluciones en caso de encontrarlas.

Más allá de las medidas que tomemos para prevenir ataques, es prácticamente una obligación realizar respaldos frecuentes de nuestros sitios y sus bases de datos, así, en caso de algo salga mal, tendremos la oportunidad de restaurar todo a su estado original. También hay muchas extensiones desarrolladas para ayudarnos a reforzar la seguridad de WordPress, que deberíamos tener en cuenta.

Si además de la seguridad también te interesa mejorar el rendimiento de tus sitios, puedes leer este otro artículo que escribí hace algunos meses con algunos consejos prácticos para mejorar la velocidad de WordPress.

Más guías y consejos

Recibe cada mañana nuestra newsletter. Una guía para entender lo que importa en relación con la tecnología, la ciencia y la cultura digital.

Procesando...
¡Listo! Ya estás suscrito