Seguridad para WordPress

Última revisión: 2 de octubre de 2021

Aquí vas a encontrar distintos elementos relacionados con la Seguridad de WordPress. Hay elementos generales, al alcance de todo el mundo, y otros que requieren conocimientos técnicos o de sistemas.

General

Aprende elementos generales y básicos sobre la Seguridad de WordPress, además de las obligaciones que tienes como responsable de un sitio web con WordPress.

Comenzando con la Seguridad de WordPress
WordPress es un sistema seguro, de código abierto y mantenido por la comunidad lo que lo hace fácilmente actualizable en cuanto se detecta cualquier problema.

Aplica el Sentido Común en tu sitio WordPress
Dicen que el sentido común es el menos común de los sentidos, y por eso te pido un poco de él.

Tipos de ataque sobre WordPress
Existen infinidad de posibles ataques a tu sitio, ya que existen infinidad de posibles puntos de acceso a los mismos, ya sean por el propio WordPress, pero también por el servidor, los usuarios, comentarios, códigos de script, etcétera.

Contraseñas seguras para WordPress
¿Qué podemos considerar hoy una contraseña segura? Pues probablemente una de 24 caracteres alfanuméricos y con símbolos. A partir de ahí, lo que queramos.

GDPR (General Data Protection Regulation) y WordPress
Entre otros detalles, esta legislación vendría a decirte que has de recoger información sobre algunos de los elementos que WordPress proporciona en tu sitio, como por ejemplo el registro de usuarios, comentarios, datos de contactos de los formularios, datos sobre analítica, etcétera.

Especial

Aquí tienes algunos materiales especiales sobre seguridad de WordPress y que, en principio, pueden aplicar muchos elementos de forma conjunta.

Limpiar un hackeo
Es posible que te hayan infectado, hackeado, atacado… cualquiera de estas opciones es posible si tu sitio tiene un agujero de seguridad por falta de actualización o por una plantilla o plugin.

Hosting

Los servidores de alojamiento web para WordPress permiten algunos elementos específicos de seguridad para WordPress, además de los sistemas de seguridad generales.

Seguridad del alojamiento web de WordPress
Cuando hablamos de seguridad, alojamiento web y WordPress, la única conclusión a la que se puede llegar es: tu proveedor de alojamiento web ha de ofrecerte una plataforma segura.

Versiones mínimas para que WordPress funcione
¿Cuáles son las versiones mínimas requeridas para que WordPress funcione correctamente?

Instalar un certificado TLS / SSL en WordPress
Cuando navegamos por Internet queremos hacerlo de forma segura. Para ello deberíamos navegar por sitios de confianza con la barrita verde o el candado.

Compatibilidad de PHP en WordPress
Si WordPress tiene un punto importante es el de PHP, y esto es lo que más se está potenciando últimamente (por no decir casi desde siempre).

Permisos de ficheros en WordPress
Cuando se realiza una instalación nueva de WordPress, un elemento a tener presente es quién es el propietario de los ficheros del sistema y qué permisos tienen para poderse leer o escribir.

Bloquear PHP en uploads en WordPress
En principio, cuando subes ficheros mediante el panel de Multimedia sólo se permiten elementos como imágenes, ficheros de texto y similares, pero no se permiten ficheros PHP (el lenguaje de programación con el que se hace WordPress) entre otros.

Servicio externo de correo
El correo basura (spam), esa lacra de Internet que muchos sufrimos todos los días en nuestra bandeja de entrada, es algo que debemos evitar que ocurra debido a nuestro sitio web.

Desactivar el HTTP TRACE / TRACK
TRACK y TRACE son dos métodos que se usan principalmente para análisis, pero estos métodos, usados en WordPress, pueden comprometer la seguridad del sitio.

.htaccess para Apache y LiteSpeed
Si utilizas Apache HTTPD o LiteSpeed, configura el fichero .htaccess de la raíz de la configuración de tu WordPress de una manera compleja (más de la que viene por defecto).

.conf para nginx
Si utilizas nginx, configura el fichero .conf de la configuración de tu WordPress de una manera compleja (más de la que viene por defecto).

Base de Datos

Podemos aplicar algunos pequeños cambios para cambiar configuraciones por defecto de WordPress y complicar posibles accesos a la información.

Limitar el acceso a base de datos de WordPress
Con respecto a la base de datos (MySQL, MariaDB…) hay pocas cosas a hacer propiamente dichas desde el punto de vista de WordPress, pero sí que se pueden poner algunas complicaciones para aquellos que intenten acceder a ella.

Evitar la numeración de usuarios en WordPress
Cuando se crean las tablas de WordPress, todos los sistemas de auto incremento comienzan en la cifra número 1.

Eliminar copias antiguas de entradas en WordPress
Una vez más volvemos a temas que afectan principalmente a rendimiento y, en este caso, es el de ir vaciando la base de datos de copias antiguas de entradas o páginas.

WordPress

Aunque WordPress es muy seguro de por sí, existen ciertas posible configuraciones que se pueden aplicar directamente sobre WordPress.

WP-Config: la configuración de WordPress
El fichero de configuración de WordPress [wp-config.php] esconde muchas funcionalidades que ayudan a mejorar la seguridad y rendimiento del sistema. ¿Conoces todas las posibilidades que te ofrece?

Las Security Keys de WordPress
Desde la versión 2.6.0 de WordPress existen unos pequeños algoritmos para encriptar los datos guardados en cookies y que sea más complejo saber quién eres o cómo acceder a tu usuario.

Seguridad en las cookies de WordPress
En una instalación simple de WordPress, definiremos concretamente dónde se almacenarán las galletas (cookies) para que no sean tan fácilmente accesibles.

Eliminar cabeceras y metas de WordPress
Como la mayor parte de gestores de contenidos, WordPress se identifica claramente y ofrece determinados servicios que luego usaremos (o no).

Unificar CSS y JavaScript en WordPress
En general los ficheros de estilo (CSS) y los de scripting (JavaScript) incluyen cierta información como las versiones, ya sea en su nombre, en el interior, en algunos comentarios…

Ocultar la versión de WordPress
La versión de WordPress está bastante disponible, ya que forma parte del código del sitio, por lo que hay que ocultarla de varias formas en varios lugares.

Configurar caché en WordPress
Una vez más, lo que probablemente sea una recomendación general y muy útil, como la de activar las caché de WordPress, se convierte en un elemento que ayuda a aumentar la seguridad de tu sitio.

Cambiar las carpetas por defecto de WordPress
Cuando hablas de WordPress es un clásico hablar del uvedoblepé content [/wp-content/] haciendo referencia a la carpeta por defecto donde se encuentran plantillas, ficheros, etcétera.

Tras la instalación de WordPress
Una vez tengas instalado tu WordPress podrás deshabilitar una serie de direcciones URL a las que ya no necesitas acceder, ni tú ni nadie.

Bloquear la edición de ficheros en WordPress
Las personas, en general, somos curiosas por naturaleza y eso hace que, si desde el panel de administración se puede tocar algo, lo toquemos.

Forzar la URL del sitio WordPress
Uno de los errores más habituales de un usuario administrador en el panel de administración de WordPress es cambiar las direcciones URL que aparecen en la primera pantalla de configuración.

Impedir acceso a servidores externos desde WordPress
WordPress es un gestor de contenidos que permite infinidad de opciones, entre ellas la de leer elementos externos o la descarga de otros elementos, como las plantillas y plugins.

Bloquear XML-RPC en WordPress
Una de las ventajas de WordPress es su flexibilidad a la hora de ser utilizado por aplicaciones de terceros, y para ellos muchas utilizan el estándar XML-RPC que permite la interacción con el número del gestor de contenidos.

Limitar el acceso a wp-admin de WordPress
Aunque podemos cambiar las carpetas por defecto del sistema, no es posible cambiar las de la administración [/wp-admin/].

Actualizaciones automáticas de WordPress
Mantener WordPress al día es la clave para evitar problemas de seguridad. WordPress es un sistema seguro en su núcleo, pero las ampliaciones por plugins o plantillas son lo que pueden provocar problemas.

Seguridad de los usuarios en WordPress
En WordPress los usuarios tienen un peso importante en el sistema. Tanto si tienes el gestor completamente cerrado y sólo accedes tú, como si tienes un centenar de personas trabajando con él, es importante evitar que quien no tenga que acceder, no lo haga.

Limpieza de multimedia en WordPress
Subir imágenes, editarlas, recortarlas y volver a empezar. Sin duda uno de los esfuerzos mayores en muchas versiones de WordPress ha sido la de trabajar en mejoras del sistema de edición de contenidos multimedia, principalmente las imágenes.

Configurar el robots.txt de WordPress
Este fichero de texto lo que hace es decirle a los robots de búsqueda (como GoogleBot, BingBot, YandexBot, Slurp!…) qué deben y qué no deben analizar de tu sitio.

Configurar una plantilla por defecto en WordPress
Aunque normalmente no es algo que suela pasar, es posible que tu plantilla falle por alguna razón (por alguna incompatibilidad, porque se borren algunos ficheros…)

Desactivar los Emoji de WordPress
WordPress integra los Emoji desde hace muchas versiones, convirtiendo los iconos de texto en imagen. Pero este sistema implica algunos problemas de detección de versiones.

Subir ficheros de cualquier tipo a WordPress
Cuando hablamos de subir elementos multimedia a través del panel de administración solemos hacer referencia a imágenes, documentos y ficheros conocidos.

Seguridad Activa

A parte de las mejoras que se pueden realizar sobre el propio WordPress, también podemos trabajar en la aplicación de mejoras que aplican elementos de seguridad proactiva.

Instalar un Anti Spam en WordPress
Un ataque habitual en los sitios con WordPress (principalmente en aquellos que están focalizados en escribir entradas tipo blog) es el que se hace de los comentarios mediante ataques por spam.

Analiza tus enlaces de WordPress
En muchas ocasiones los enlaces dejan de funcionar o se redirigen a sitios de, digámoslo finamente, dudosa calidad.

Copias de seguridad en WordPress
Si hablamos de seguridad hemos de hablar de copias de seguridad (backups). No tiene sentido poner medidas que ayudan a la seguridad de tu sitio si luego no tienes una copia del mismo que permita restaurar una configuración fallida.

Configurar un Firewall o WAF en WordPress
Podemos activar determinadas herramientas de seguridad activa que intenten evitar lo más en tiempo real posible ataques o cambios.

Verificar el checksum de WordPress
Una de las formas más rápida para verificar si un sitio WordPress ha sido comprometido es el uso de alguna herramienta que valide el código de una forma poco costosa.

Configurar herramientas para webmasters en WordPress
Tener un WordPress es tener un sitio web, y como tal te convierte en webmaster. Esto significa que por Internet te encontrarás muchas herramientas que podrás utilizar para analizar tu sitio web.

WordPress y CDN
A la hora de escalar, cachear, evitar ataques nunca hay una situación ideal, pero sí servicios por Internet que te ayudan a protegerte de una forma más o menos sencilla, como son los CDN.

Configurar licencias en WordPress
Existen servicios de pago que requieren una licencia para funcionar y habitualmente estas licencias se añaden desde el panel de administración.

Cómo auditar tu WordPress
Cuando hablamos de seguridad hay que tener un plan de prevención para poder recuperar los datos, pero también hay que saber qué ha ocurrido para llegar a ese punto.

Desarrolladores

Existen algunos elementos desde plugins y themes que permiten ayudar a mejorar la seguridad de los distintos elementos añadidos de WordPress.

Versión mínima de PHP para WordPress
Desde hace unas pocas versiones de WordPress, todos aquellos desarrolladores de plugins pueden indicar la versión mínima de PHP necesaria para que funcione.

Vulnerabilidades

Existen algunos problemas de seguridad con WordPress que, aunque quizá se hayan definido en que no son problemáticos, pueden requerir una pequeña corrección.

Mitigar el CVE-2018-6389 de WordPress
Aunque no suele ser muy normal, de tanto en tanto aparecen vulnerabilidades en WordPress como la CVE-2018-6389.