Enrique J. Ros

Desarrollo web WordPress

por Deja un comentario

5 errores habituales que pueden comprometer la seguridad de tu WordPress

Publicado en: Tutoriales WordPress

WordPress es tan seguro (o tan inseguro) como cualquier otro CMS y, en general, como cualquier otro software. Es más, el hecho de ser software libre hace que haya más ojos puestos en el código, con la seguridad añadida que eso representa, al encontrarse y solucionarse más rápido los posibles fallos de seguridad y vulnerabilidades.

Y es que, muchas veces, el mayor problema en la seguridad no proviene del software, sino del uso que le damos. Configuraciones incorrectas por desconocimiento, por comodidad o incluso por desidia, pueden hacer que tu web sea vulnerable a pesar de que el CMS sea seguro. Si alguna vez has tenido que marcar en WordPress la casilla Confirmar el uso de una contraseña débil, sabes de qué te hablo.

Así que vamos a hacer las cosas bien. En este artículo le doy un repaso a los errores que más habitualmente encuentro que cometen los usuarios y que pueden comprometer la seguridad de tu web en WordPress.

Utilizar un usuario llamado admin

Ahora, al instalar WordPress, se solicita un nombre de usuario. Puedes poner el que más te guste, siempre que cumpla ciertas normas; el caso es que lo eliges tú.

Sin embargo antes no era así. En fin, podías crear un usuario igualmente, y darle privilegios de administrador, pero la cuestión es que en la instalación, de forma automática, te creaba un usuario llamado admin, así que ¿para qué molestarse en crear otro?

En fin, en webs relativamente nuevas ya no se ve, pero en webs que vienen de esa época es habitual que el usuario administrador se llame precisamente admin, simplemente porque nadie tuvo la precaución de crear un nuevo usuario administrador y borrar ése, que es una amenaza para la seguridad: ante un ataque por fuerza bruta, la mitad del trabajo está hecho porque ya se conoce el nombre de usuario.

La solución es bien sencilla:

  1. Realiza una copia de seguridad (eso, por supuesto, hay que hacerlo siempre antes de realizar cualquier tarea de administración o mantenimiento)
  2. Crea un nuevo usuario con privilegios de administrador
  3. Sal de la sesión de admin y loguéate con tu nuevo usuario
  4. Elimina el usuario admin, asignando el contenido creado por él (lo pregunta al eliminar el usuario) al nuevo usuario que has creado
  5. Si tenías archivo de autor, recuerda hacer una redirección 301 de la URL antigua (por defecto será algo como tudominiochulo.com/author/admin/) a la nueva

Ya puedes dormir un poquito más tranquilo. 🙂

Utilizar una contraseña débil

Si es que somos cabezones. O gandules. Mira que WordPress nos lo avisa: ¿Seguro que quieres usar esa piltrafa de contraseña? ¡Si eso no vale ni para chatarra!. Me refiero, claro, a la opción Confirma el uso de una contraseña débil. Y sí, seguimos marcando esta opción.

Porque claro, uno piensa: ¿Por qué no puedo usar «1234» como contraseña, con lo fácil que es de recordar, en vez de esa animalada de «El9gHh8kFC@tQVxlQ$VUL$er» que me ofrece WordPress, que no hay dios que la recuerde? Y claro, luego pasa lo que pasa.

Parafraseando a Roy Batty en la genial Blade Runner, he visto cosas que vosotros no creeríais: gente que utiliza su nombre de usuario también como contraseña, listas de las contraseñas más usadas, scripts (programas) que utilizan esas listas para probarlas, una a una, en tu web (de ahí la importancia de no tener un usuario llamado admin que les dé la mitad del trabajo hecho) y, en fin, otras cosas que hacen que uno ya no se extrañe cuando recibe un mail diciendo Es que me han hackeado la web.

¿Estás construyendo tu tienda online o eres implementador WordPress?
¿Necesitas plugins de calidad y con soporte para implementar funcionalidades concretas?

Consigue todos los plugins a la venta en la sección de plugins de esta web y todos los que siga añadiendo. Acceso a los 96 plugins (y subiendo) con soporte directo del desarrollador, actualizaciones y uso ilimitado: úsalos en tantas webs como lo necesites.

Quiero saber más

No actualizar

Seguro que en su día, cuando las noticias hablaban un día sí y otro también sobre los papeles de Panamá, oíste mencionar a Mossack Fonseca y su famosa web hackeada, que permitió el robo de toda aquella documentación. Ese robo se produjo gracias a una vulnerabilidad en el celebérrimo plugin Slider Revolution. Una vulnerabilidad que había sido resuelta hacía muchas versiones: nadie se había preocupado de actualizar la web.

Tiene que estar todo al día: el core (el propio WordPress), los plugins y las plantillas, aunque no estén en uso (en realidad, si no están en uso lo mejor es no tenerlos instalados). ¡Todo al día! Si es algo de lo que no puedes estar pendiente (el mantenimiento de una web requiere tiempo y atención) o no quieres hacerlo por miedo a «romper algo», puedes considerar mi servicio de mantenimiento web.

No borrar el archivo readme.html

WordPress te deja, al instalarlo por primera vez, un archivo en la raíz de la instalación contándote algunas cosillas de más o menos interés sobre el CMS: el archivo readme (léeme).

Nadie lo lee… excepto quien llegue a tu web con no muy buenas intenciones. Porque resulta que en ese archivo aparece, bien destacada, la versión de WordPress que estás utilizando. Es decir, le estás diciendo a cualquier hacker interesado:

¡Eh, mira! Esta es la versión de WordPress que tengo instalada, lo tengo (o no) actualizado. Además, si te interesa puedes buscar vulnerabilidades conocidas de esta versión, que quizá han sido resueltas en versiones posteriores, pero ya sabes cómo son las cosas, he estado ocupado y no he tenido tiempo de actualizar. En fin, aquí estoy para lo que necesites..

Archivo readme de WordPress

¿Lo tienes? ¿Estás mostrando al mundo tus vergüenzas? Compruébalo, sólo tienes que ir a la página de inicio de tu web y, al final de la dirección, añadir readme.html, de forma que quede algo así como www.tusuperweb.com/readme.html.

Está ahí, ¿no? Mirándote con cara de culpa. No te preocupes, la solución es tan fácil como borrar ese archivo. Elimínalo sin compasión, y listo. Sin miedo, WordPress no lo necesita para nada, ni tú tampoco: nada se estropeará y después no necesitarás consultar lo que ahí dece. Nunca.

Si no lo borras, cada vez que actualices WordPress pondrá ahí su archivo readme.html, informando de la versión. Pero si lo borras, WordPress se dará cuenta y en lugar de ponerlo en tuweb.com/readme.html la nueva versión le cambiará el nombre para que nadie pueda localizarlo (sólo tú a través de FTP o del gestor de archivos), llamándolo algo así como readme.a5asa4ds5a8ds4f587.html. Mucho mejor, ¿no?

No usar un plugin de seguridad

O no configurarlo como es debido, tengo que añadir. Y es que no vale con tenerlo, hay que prestarle la atención debida:

  • Cuidar su configuración (al fin y al cabo sólo hay que configurarlo una vez, más vale perder un rato y hacerlo bien, que hacerlo mal y que no sirva para nada).
  • Verificar las alertas de seguridad. De nada sirve que haya un plugin que te avise de qué cosas están pasando en la web, si ignoras sus avisos.
  • Revisarlo todo de vez en cuando, porque está muy bien automatizar, pero no olvides que no es más que un plugin: necesitará tu supervisión.

¿Recomendaciones? Wordfence o iThemes Security. Por cierto, y sin ánimo de ser pesado, estas cosas también están incluidas en mi servicio de mantenimiento. 🙂

Mantenimiento web y soporte WordPress Mantenimiento web y soporte WordPress

Conclusión

Ya ves que no es tan difícil: son los cinco errores que más a menudo veo en los clientes que me contratan por primera vez, y son cosas muy básicas que puedes resolver y ponerle las cosas a los hackers un pelín más complicadas.

Y si no tienes tiempo para ello o crees sabes que tu tiempo vale más cuando lo estás dedicando a tu negocio, que es en lo que de verdad eres productivo, ya sabes: no tienes más que enviarme un mensaje, tienes el formulario de contacto a tu disposición. 🙂

Acerca de Enrique J. Ros

Soy desarrollador web freelance especializado en WordPress y WooCommerce, partner developer en WooCommerce.com, con veinte años de experiencia en la realización y desarrollo de sitios web y de comercio electrónico. Actualmente dedico la mayor parte de mi tiempo a la programación de plugins, tanto comerciales como hechos a medida [más sobre mí] [Contacta conmigo]

¿Te ha parecido útil este contenido?

Apúntate a la newsletter y recibe semanalmente un resumen de los tutoriales publicados. Además, recibirás en tu email los ebooks Mejorando WooCommerce y Copias de seguridad en WordPress.

Los datos que proporciones mediante este formulario serán tratados por Enrique Jesús Ros Franco como responsable de esta web. La finalidad de la recogida de estos datos es para enviarte mis publicaciones, promociones de productos y/o servicios y recursos exclusivos. Estos datos, que no serán cedidos a terceros salvo obligación legal, estarán almacenados en los servidores de 10DENCEHISPAHARD, S.L. (CDmon), situados en la Unión Europea (política de privacidad de CDmon). Puedes ejercer tus derechos enviando un correo electrónico a enrique@enriquejros.com. Puedes consultar la información completa y detallada sobre privacidad en mi política de privacidad.


Deja una respuesta

Al enviar tu comentario, algunos datos como tu nombre, correo electrónico y web pueden quedar almacenados en una cookie para volver a ser utilizados en futuras visitas si seleccionas la casilla para ello.

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Acepto la política de privacidad. *

Información básica sobre protección de datos.
Responsable: Enrique Jesús Ros Franco.
Finalidad: Moderación de comentarios.
Legitimación: Consentimiento del interesado.
Destinatarios: No se comunicarán datos a terceros, salvo obligación legal. Los datos quedarán almacenados en los servidores de 10DENCEHISPAHARD, S.L. (CDmon), situados en la Unión Europea (política de privacidad de CDmon).
Derechos: Tienes derecho a acceder, rectificar y suprimir tus datos, derechos que puedes ejercer enviando un correo electrónico a enrique@enriquejros.com
Puedes consultar la información adicional y detallada sobre protección de datos en mi política de privacidad.

Contacta conmigo

  • Los datos que proporciones mediante este formulario serán tratados por Enrique Jesús Ros Franco como responsable de esta web. La finalidad de la recogida de estos datos se realiza solamente para responder a tu consulta. Estos datos estarán almacenados en los servidores de 10DENCEHISPAHARD, S.L. (CDmon), situados en la Unión Europea (política de privacidad de CDmon). Puedes ejercer tus derechos de acceso, rectificación, limitación y supresión enviando un correo electrónico a enrique@enriquejros.com. Puedes consultar la información completa y detallada sobre privacidad en mi política de privacidad.

Social

WordPress.org YouTube Twitter LinkedIn Feedly

Servicios

Mantenimiento web y soporte WordPress
Optimización SEO para WordPress
Resolución de emergencias
Consultoría WordPress

Desarrollo de sitios web para móviles

Logo WordPress WordPress Plugin Developer Logo WooCommerce