Blog

Si tu web está hecha con WordPress, toma medidas. Ahora más que nunca puede estar en peligro.

Blog >>


Imagina que, tras crear con WordPress un blog o la página web de tu empresa o tu página web personal, publicar un montón de imágenes y productos, escribir un montón de artículos y haberle dedicado muchas de horas, va un día y te encuentras que todo este trabajo se ha venido abajo... y que ¡incluso las copias de seguridad las tienes corruptas e infectadas! (enlaces a páginas pornográficas o productos de farmacia ilegales, penalización de Google con la temida pantalla roja, etc)
 

Web hackeada

Nuestro consejo, ante todo, es que cuando tú o tu empresa os enfrentáis con una implementación de una web con WordPress os pongáis en manos de profesionales tanto en la parte de diseño y programación como en la elección de un hosting para alojar con toda seguridad esta página. También es básico contar con un contrato de mantenimiento para poder tener a punto WordPress: actualizado, con las máximas medidas de seguridad para adelantarnos a posibles futuros ataques.

Sin embargo, si decides salir adelante por tu cuenta te podemos indicar una serie de puntos básicos para mejorar la seguridad de WordPress:

  1. Elige un hosting gestionado especialista en WordPress
    Muchos de los problemas de infección o hacking por falta de seguridad es derivado de hostings o alojamientos web no suficientemente securizados que se limitan a desactivar la web una vez infectada para evitar que Google penalice. No todo lo que es barato es efectivo: a veces un coste bajo se acaba pagando muy caro. Lo mejor es que el personal del hosting aplique mejoras de forma periódica y monitorice las instalaciones de este gestor de contenidos. El riesgo es elevado como para asumirlo la misma empresa propietaria de la web.
     
  2. Usa siempre la última versión de WordPress
    Si hay algo peligroso es trabajar en red con software obsoleto o no suficientemente actualizado. Los hackers suelen atacar principalmente sitios con versiones antiguas, no actualizados, ya que suelen ser más vulnerables al no incorporar la suficiente protección a tipos de ataque conocidos.

    Afortunadamente, WordPress ofrece un sistema de actualizaciones automáticas, tanto para el propio núcleo de WordPress como por módulos y temas. Pero ¡cuidado con las implementaciones web a medida! Puede ser que una de estas actualizaciones hagan que deje de funcionar tu site. Consulta a profesionales en este caso.
     
  3. No utilices módulos, conectores o temas obsoletos
    Una de las más importantes fuentes de vulnerabilidad son los módulos y temas obsoletos o abandonados por sus desarrolladores. Revisa frecuentemente la página del programador de tu tema y módulos para comprobar si se ha actualizado recientemente su producto y, de lo contrario, busca una alternativa que te ofrezca las mismas prestaciones.

    Si utilizas temas y módulos del directorio oficial de WordPress encontrarás toda la información disponible, como la fecha de la última actualización y la compatibilidad con las últimas versiones de WordPress. Además, el directorio oficial de WordPress retira automáticamente módulos y temas que no se hayan actualizado durante más de dos años, lo que supone una garantía adicional. 

    En caso de utilizar temas y módulos descargados de otros sitios (asegúrate de que sea de lugares seguros y que están actualizados) deberás comprobarlo en su propia web e instalar manualmente cualquier actualización. Nosotros, sin embargo, te recomendamos que en estos casos te pongas en manos de especialistas que puedan modificar el código fuente para adaptarlo a tus necesidades si es necesario.
     
  4. Borra los plugins y temas que no utilices
    Es un peligro tener instalados conectores y temas inactivos, por la sencilla razón de que les prestaremos menos atención en no estar activos. No sólo ocupan espacio en tu alojamiento sino que suponen una vía de entrada a posibles vulnerabilidades para tu web. El único tema activo que deberías dejar instalado es el último tema por defecto de WordPress disponible (ahora mismo Twenty Fifteen), que supone una regla de protección adicional para tu web, ya que si WordPress detecta un problema en tu tema activo y no puede cargar intentará activar automáticamente el tema predeterminado si lo encuentra instalado.
     
  5. Protege el archivo de configuración de WordPress
    El archivo de configuración de WordPress, el archivo wp-config.php, contiene información muy sensible sobre tu servidor:
  • Nombre de la base de datos
  • Usuario de la base de datos
  • Contraseña de la base de datos
  • Prefijo de las tablas de la base de datos.
     

Por este motivo es vital protegerlo de miradas ajenas y, por supuesto, de modificaciones no deseadas. Ponte en manos de expertos para realizar estas tareas, si no quieres un riesgo no deseado.

  1. Usar permisos de archivos y carpetas para securizar los mismos
    De forma predeterminada, WordPress aplica permisos de lectura y escritura a archivos y carpetas que, a veces, pueden modificarse, bien automáticamente por algunos conectores, bien manualmente al subir por ti mismo archivos desde las utilidades del paneles de hosting o, incluso, mediante clientes FTP.

    Los permisos por defecto que deben tener archivos y carpetas en WordPress son los siguientes:
  • Archivos: 644 (lectura y ejecución)
  • Carpetas: 755 (lectura y ejecución exceptuando escritura para el propietario de la carpeta)

Hay módulos que necesitan permisos especiales. Consulta a un profesional como securizar los mismos.
 

  1. Protégete del correo basura
    Una de las tareas habituales de cualquier administrador de un gestor de contenidos, como WordPress, es controlar el spam en los comentarios. Primero, porque es fuente de distracciones y enlaces no deseados en los formularios de comentarios. Y segundo, porque algunos hackers utilizan estos formularios para inyectar código que podría comprometer la seguridad de la instalación de WordPress.

    Existen numerosos módulos para filtrar el spam como el de Askimet, pero el mismo WordPress tiene sus filtros para moderar manualmente los mensajes entrantes.
     
  2. Comprueba los cambios en los archivos de tu instalación de WordPress
    Debes tener presente que la seguridad debe ser una preocupación permanente y activa. Pero, afortunadamente, WordPress nos ayuda a automatizar muchas de estas tareas y de manera totalmente gratuita casi siempre.

    Y una manera fantástica de vigilar nuestra instalación de WordPress es utilizando conectores como WordFence o Security, Antivirus, Firewall - SAF Estos conectores vigilarán por nosotros la integridad y posibles cambios de los archivos de nuestra instalación de WordPress, tratando de evitar modificaciones y, cuando no sea posible, avisándonos de estos cambios para que podamos revertir y así permanecer seguros.
     
  3. Finalmente, ante infección ponte en manos de profesionales
    Si detectas que tu web está hackeada, no esperes ni un instante: Google puede penalizar y hacer que pierdas muchísimas posiciones SEO (orden en el que aparecen las web en la búsqueda) Puede ser tan grave que, al final, aparezca en la búsqueda el temido mensaje "Esta web puede estar comprometida" o, incluso, una pantalla en rojo bloqueando la web y avisando a los navegantes de los motivos: generando desconfianza a los usuarios.
     

    Google penaliza web hackeada

    Si tú o tu empresa se encuentra en una situación de este tipo el tiempo es oro y hay que un servicio técnico de calidad ocupe de recuperarla y desinfectarla , en su caso, actualizando, optimizando y securizar la instalación. Si el problema es el hosting, migra inmediatamente a un hosting con garantías y servicio . Lo agradecerás ahora y en un futuro.
Volver
Facebook
Google Plus
Twitter
Linkedin
Email