Las estadísticas son claras y no dejan lugar a dudas en cuanto al motivo por el cual deberías tener interés por la seguridad en Wordpress o el cms que uses.
Cerca de 75 millones de páginas webs están hechas con WordPress.
La cuota de mercado de WordPress en el 2020 era del 60.8% entre todos los cms existentes: Wordpress(WP), Drupal, Joomla, Shopify, Squarespace, Wix y un largo etcétera.
Más del 15% de las mejores páginas web del mundo están hechas con WordPress, incluida la web de The White House, en Estados Unidos.
La cantidad de páginas web que son creados al día usando WordPress, sobrepasa con creces las que son creadas con cms como Shopify y Squarespace.
Pero todos esos datos también tienen un lado oscuro.
La popularidad cada vez más creciente de WordPress, ha ido acompañada del aumento en los ataques a las páginas hechas con WordPress.
Además, han dado lugar a ataques más agresivos que nunca.
Más de 1 millón de sitios web de WordPress fueron pirateados en 2020 (fuente: WP Hacked Help )
Si tu página web está construida con Wordpress, continúa con la lectura para conocer las medidas que debes tomar para prevenir que tu web sea vulnerada, o hackeada.
Seguridad en Wordpress
¿El aumento en los ataques a WordPress es debido a que es inseguro?
La respuesta es un NO, claro y tajante.
El problema se debe a los usuarios que no toman las precauciones debidas para garantizar que Wordpress sea seguro.
Para las empresas, la ciberseguridad es ahora un tema cotidiano.
Todos los días se hackean sitios web y algunos ataques pueden ser fatales para las empresas afectadas.
Hay miles de ataques dirigidos a una página web cada día. Sin embargo, muchos de los ataques no tienen éxito.
Su sistema de seguridad garantiza que los ataques no tengan éxito.
Ya conociendo esos datos, tanto sobre WordPress, como sobre los ataques que sufre a diario, es hora de conocer algunos detalles sobre la gestión de Wordpress.
La gestión es un punto clave para proteger la página web.
Medidas para mantener la seguridad de tu página web hecha con WordPress
Un detalle que debes tener en cuenta, es que van a atacar tu web, un punto que necesitas tener en cuenta.
Que ataquen tu página web es una cosa, que puedan acceder a ella es otra, y son muy distintas.
Afortunadamente WordPress, sabiendo que el éxito del ataque depende de cómo se gestiona, ha tomado algunas medidas que han mejorado la seguridad de WordPress.
Controlar quién accede al escritorio de Wordpress y la gestión de los tipos de accesos que existen es un punto crítico.
Para comenzar a familiarizarnos con la terminología de Wordpress, de ahora en adelante, voy a comenzar a usar el término usuario para referirme a una persona.
¡Usuario = persona!
Usuarios de WordPress
De la gestión de una página web se encarga un usuario, que puede tener o no cierto conocimiento sobre WordPress.
A mayor conocimiento, más segura será la web.
La capacidad para interactuar del usuario con Wordpress se conoce como privilegio.
Evidentemente, a mayor privilegio, mayor capacidad de interactuar.
Los privilegios van desde crear nuevas funcionalidades, cambiar el diseño, hasta solamente leer el contenido.
Los usuarios que puedes crear, para un WordPress normal, son 5:
- Administrador: Es la persona que tiene todos los privilegios.
- Editor: Tiene ciertos privilegios y puede ser el segundo de a bordo, es capaz de publicar, editar o eliminar el contenido de todos los autores y el suyo propio.
- Autor: Solo posee el privilegio de publicar, editar o eliminar su propio contenido del blog, también puede subir los archivos asociados al contenido.
- Colaborador: El privilegio es mucho más restringido que el de un autor, solo puede editar el contenido, no puede publicar, tampoco eliminar el contenido creado.
- Suscriptor: Carece de privilegio y solo puede leer, ya sean los artículos del blog o de las páginas.
Jamás uses tu nombre de pila como usuario administrador de Wordpress
En el lejano 2013 podías crear un usuario Administrador con el nombre de admin, de hecho, ese era el nombre por defecto que usaba WordPress, al crear un usuario.
Hoy en día, ese usuario con el nombre admin, WordPress lo rechaza y tienes que escoger tú mismo el nombre.
El problema, lo he visto en algunos de mis clientes, es usar el nombre de pila para el usuario administrador.
Así, por ejemplo, mi nombre de pila es Jacobo, entonces el usuario Administrador, el de todos los privilegios, lleva mi nombre.
Es decir, para acceder al escritorio, debo escribir en la página de entrada o login, jacobo, tal y como lo ves en la imagen:
Entonces, con un usuario administrador con el nombre de pila, los piratas o hackers informáticos ya tienen medio pie adentro de tu web, solo les falta la clave de acceso.
Pero, al usar tu nombre de pila como usuario administrador, lo más seguro es que la clave de acceso sea tan sencilla y débil como el nombre que has usado para el administrador.
Puedes empezar a sudar a chorros por que has comprometido la seguridad de la web y cómo has visto, el culpable no es Wordpress.
El causante del problema eres tú al usar esas credenciales de acceso tan débiles.
Lo bueno es que ya sabiendo el problema, la solución es sencilla.
Nombres para el usuario administrador de Wordpress y clave de acceso o contraseña (Password)
Debes usar nombre para el usuario administrador que no tenga nada que ver con tu nombre real.
Por ejemplo, si eres de Andalucía, puedes poner como nombre de pila: Madrileño que no tiene nada que ver con tu nombre ni con tu comunidad.
Con ese simple detalle has logrado que la seguridad de tu página creada con Wordpress, aumente unos cuantos grados.
¡No te gusta lo de Madrileño! Busca en alguna serie, no necesariamente de tus series favoritas, un personaje secundario
Por ejemplo, en la serie de The Black List, Donald Ressler tiene un hermano llamado Robby, un personaje de segunda cuya aparición en la serie es muy limitada.
Ejemplos de este tipo sobran.
Con la contraseña (Password) otro tanto, Wordpress te obliga a poner una clave de acceso o password fuerte.
Te doy sugerencias para las claves que puedes usar.
Fíjate bien, es una cadena compuesta por cinco elementos:
- Nombre: puede ser de una persona, un país, una verdura.
- + (signo de la suma o carácter especial)
- 4532
- & (carácter especial)
- marca
Nombre que puede ser de una persona, un país, una verdura, seguida de un signo de suma(resta o a tu criterio) luego un número, seguido de un carácter especial, finalmente la marca de un coche, una bebida, un perfume, etcétera:
jaPaN+4532&zeuGeoT
Fíjate en el uso de las mayúsculas, WordPress es lo que se conoce como case sensitive, es decir, distingue mayúsculas y minúsculas y tenemos la costumbre de escribir en mayúscula el nombre propio.
Ese es un ejemplo de una password potentísima formada con 18 caracteres, mayúsculas intercambiadas y la marca Peugeot modificada.
Para cuando los hackers lograran, si logran, descifrar la clave, habrían pasado al menos 100 años.
De forma sencilla,has aumentado de forma notable, el nivel seguridad de tu página web.
Sigamos fortaleciendo la seguridad de tu web creada con Wordpress.
Cambiar la página de login mejorar la seguridad en WordPress
Para acceder al escritorio de WordPress, o backend, WordPress te proporciona una página de acceso especial.
La página que me da WordPress para acceder al escritorio es dummyseo.com/wp-login.php.
Cuando escribo esa dirección en el navegador Wordpress me lleva a la página donde debo colocar tanto mi nombre del usuario, como la contraseña.
Todo hacker informático, por muy torpe que sea, ten la plena seguridad que conoce esa página de acceso, puesto que es de dominio público.
Al conocer la dirección de acceso, conoce la ruta que debe seguir para comenzar un ataque basado en fuerza bruta.
Un ataque de fuerza bruta es un ataque mediante un programa que comienza a probar distintas combinaciones hasta dar con la combinación correcta y acceder a la web.
Con credenciales débiles, el ataque de fuerza bruta por lo general siempre tiene éxito, es cuestión de tiempo que logre acceder al escritorioa.
Conociendo eso, hay que cambiar la página de acceso, de esa forma eliminas que la ruta del acceso, sea conocida.
Fíjate.
Ahora, además de necesitar el nombre y la clave de acceso, necesita la página de acceso.
¿Cómo logras cambiar la página de acceso?
Existen varios plugins con dicho cometido, aquí tienes varios de ellos:
En lo personal, prefiero usar Perfmatters, puesto que me permite implementar otras medidas de seguridad, eso si, a diferencia de los dos anteriores, es de pago.
La seguridad en WordPress aumenta al limitar el número de intentos para acceder
Como te mencione, el ataque de fuerza bruta se basa en estar pim pam pum las 24 horas del día, hasta tener éxito.
Con un número infinito de posibilidades, la probabilidad de éxito está de su parte.
Ello es posible puesto que WordPress por defecto te permite intentar acceder al escritorio tantas veces como lo desees o necesites.
Hay que limitar el número de intentos que se puedan hacer.
Esto es un pelin problemático, puesto que en ocasiones olvidamos la contraseña o el usuario.
Pero, es mejor olvidar la contraseña, que tener la web hackeada.
A mí, me ha pasado en más de una ocasión que no puedo acceder al escritorio, puesto que pongo como tres veces el número de posibles intentos.
La solución es fácil, al menos para mí.
Cómo limitar el número de veces que puede una persona intentar acceder al escritorio de WP.
Con un plugins llamado Limit Login Attempts Reloaded lo tienes chupado.
Últimas consideraciones en torno a la Seguridad en Wordpress
Cómo has visto es relativamente sencillo proteger WordPress.
Evidentemente hay medidas más potentes, pero implica meterle mano a la base de datos de WordPress y eso ya requiere un nivel de conocimientos avanzado.
Así que voy a terminar mis recomendaciones para que protejas tu web con algunas indicaciones que son más del sentido común que de medidas técnicas:
Procurar usar siempre Themes oficiales, jamás instales un theme que regalan en una web de la cual no tienes la menor referencia en cuanto a sus «generosas» intenciones.
Lo mismo vale para los plugins.
Hoy en día te regalan plugins de pago que en realidad son un regalo envenenado, así que ojo con instalar todo lo que pilles por delante.
Limpiar una web hackeada te va a salir mucho más caro que comprar la licencia, ya se de un theme o de un plugins.
Finalmente, al descargar un plugins del repositorio debes fijarte en dos detalles que son claves:
- La última actualización.
- El número de descargas o instalaciones activas.
- La puntuación o estrellas.
No obstante, el último punto no es tan importante como los dos anteriores, te da a conocer el grado de satisfacción de las personas que usan dicho plugins.