Siguiendo una serie de sencillos consejos podemos mejorar de forma exponencial la seguridad de nuestra página web creada en WordPress.

Durante los últimos meses, los ataques contra páginas web basadas en WordPress se han multiplicado de forma exponencial. Se trata de una tendencia natural, en tanto que este gestor de contenidos es la opción mayoritaria para levantar sitios en la Red, desde tiendas online hasta medios de comunicación, pasando por blogs y webs especializadas en inmobiliaria, educación o sanidad.

Es por ello que, con el fin de levantar muros que securicen estas webs construidas con WordPress, muchos desarrolladores están optando por añadir plugins de seguridad adicional o contratar servicios de auditoría, monitorización y respuesta ante cualquier ciberataque. Sin olvidar los siempre recurridos y necesarios sistemas de backup para prevenir cualquier pérdida de información.

Sin embargo, muchos portales de esta clase son humildes, creados con mucho sudor y lágrimas y con apenas recursos, por lo que necesitan estar protegidos sin gastar ni un sólo céntimo. ¿Pueden hacer algo estos webmasters para evitar ser un flanco fácil para los hackers? Pues aunque parezca sorprendente, incluso las páginas con más solera cometen errores de principiante en la gestión de la seguridad básica de su WordPress.

La contraseña, el punto débil más obvio

El punto más fácil por el que alguien puede comprometer la seguridad de nuestra página web es la combinación débil de usuario y contraseña, por defecto señalada como ‘admin’ en el pasado y todavía usada de este modo por muchos usuarios, acompañada del siempre recurrido ‘1234’ como password. Es comprensible que los atacantes opten por probar a entrar en nuestro portal sin mayor complejidad gracias a este tipo de nombres de usuario y contraseñas tan habituales.

De hecho, en las últimas versiones de WordPress se incluye un generador de contraseñas que nos permite construir passwords muy fuertes de manera aleatoria, incluyendo tanto letras como números y símbolos. Si a esta medida le añadimos una autenticación de dos pasos, ya tenemos resuelto el primer nivel de securización necesario para nuestra web.

Nada por defecto

Y al igual que las contraseñas por defecto son una invitación con lacito de regalo para los ciberatacantes, dejar que la instalación de WordPress se construya sobre sus parámetros estándar tampoco es de lo más recomendable.

Un buen ejemplo de ello son los prefijos de las tablas sobre las que se eleva la base de datos de la página web: de serie, el prefijo es “wp_”, quedando las tablas en forma de “wp_options”, “wp_comments” y sucesivamente. Los hackers saben esto, por lo que disponen de todo el esquema interno de nuestro gestor de contenidos sin apenas mover un dedo. Por ello es recomendable cambiar el prefijo a cualquier otra palabra, indistintamente de que sea más o menos larga o compleja.

Gestionar (bien) los permisos de usuarios

Al mismo tiempo, hemos de tener en cuenta que el acceso que un hacker logre a nuestro portal puede ser de diferente profundidad (y potencial gravedad) si hemos jugado bien nuestras cartas respecto a los permisos que cada usuario autorizado tiene respecto a la web.

Y es que, muchas páginas tienden a nombrar administradores a todas las personas involucradas en el proyecto, con el fin de evitar limitaciones que entorpezcan el día a día, indistintamente de si son autores, editores o simples consumidores. En ese sentido, y aunque a veces pueda ser tedioso, es clave discernir bien qué grado de confianza otorgamos a cada persona, con el fin de reducir la potencial superficie de ataque que mostramos a los hackers y el peligro que supondría una hipotética intrusión a través de uno de los perfiles asociados a nuestro site.

Evita los ataques de fuerza bruta

En relación con los puntos anteriores, hemos de asumir que los hackers optarán, de forma masiva, por los ataques de fuerza bruta: intentos repetidos de acceso contra la pantalla de login hasta conseguir dar con la combinación de usuario y contraseña adecuada.

Para evitarlo, podemos añadir -mediante sencillos plugins- sistemas de comprobación de que es un humano el que trata de acceder a nuestra web basada en WordPress (como códigos reCaptcha, por ejemplo) o herramientas que limiten el numero de intentos de ingresar en el site, tales como Limit Login Attempts o el módulo Protect de la suite JetPack.

Actualiza y limpia tu WordPress

Por supuesto, la última recomendación es la más sencilla de cumplir pero, al mismo tiempo, una de las grandes olvidadas: mantener actualizado WordPress a la última versión, ya que estas actualizaciones incluyen numerosos parches que cubren vulnerabilidades ya conocidas de este gestor de contenidos.

Igualmente ocurre con todos nuestros complementos, temas y plugins: corremos un grave riesgo si no tenemos todos estos componentes al día. Para evitar que esta tarea se vuelva tediosa y con el fin, nuevamente, de reducir la superficie de ataque, también es conveniente simplificar al máximo el número de elementos a tener en cuenta, eliminando todos aquellos plugins y temas que no usemos.

Escrito por Alberto Iglesias Fraga