WordPress es, con mucho, la plataforma de gestión de contenidos más utilizada en todo el mundo. Sin embargo, esa popularidad es como un imán para los ataques.
Mucha gente crea su web con WordPress porque les resulta muy sencillo de instalar y usar, pero en muchos casos se desatiende el mantenimiento del propio WordPress en sí, pensando que no hay por qué actualizarlo si funciona correctamente. Y es por ahí por donde suelen entrar todos los ataques.
En Tu Server Online creemos que la correcta administración de un sitio web no sólo comprende la administración del contenido, sino también del software que se utiliza. Por tanto, nuestras Condiciones de Uso especifican que los responsables de las cuentas de alojamiento deben mantener en todo momento actualizado el software que tengan instalado en ellas. Esperamos que entiendas que debemos tomar medidas cuando una web queda infectada con malware y, por ejemplo, provoca que el servidor sea incluido en listas negras de spam y deja a todos los usuarios sin servicio de correo. No podemos permitir que ocurra eso.
Consejos para evitar infecciones de malware en tu sitio WordPress
Actualízalo TODO, y revisa las actualizaciones frecuentemente
No te conformes sólo con actualizar el WordPress, es tanto o más importante que mantengas actualizados los plugins que tengas instalados en la web así como los temas, especialmente si incorporan plugins propios.
Revisa los permisos de fichero
El ponerle todos los permisos a todos los ficheros para evitar problemas de permisos denegados no es una solución, es una chapuza. En Lapsum, el proceso de PHP que ejecuta tu web ya tiene los permisos necesarios para escribir en los directorios de la misma, con lo que no deberías tener problemas de permisos. No obstante, aún en el caso de que los tuvieras, WordPress incorpora una opción para realizar los cambios en los ficheros de la web conectándose por FTP al propio espacio web. No necesitas darles todos los permisos a los ficheros. De hecho, nuestro servidor suele denegar el acceso a los ficheros que tienen los permisos mal puestos.
Instala los plugins y temas solamente desde sitios de confianza
Y por lo que más quieras, no instales plugins pirateados. Dejando aparte las cuestiones legales y éticas, que las hay, instalar plugins pirateados es casi una garantía de que vas a infectar tu web con bots de envío de spam, puertas traseras y demás porquerías.
Deniega el acceso al fichero wp-config.php
Ese fichero es crucial: es donde se puede encontrar la configuración crítica de tu sitio web. Asegúrate de que ese fichero no es accesible desde Internet. Tienes dos maneras de hacerlo:
- Si tienes la web instalada en la raíz del dominio, moviendo el fichero al directorio superior. Es decir, si tienes la web instalada en el directorio
/home/tu_usuario/public_htmlde tu cuenta de alojamiento, WordPress puede leerlo también desde/home/tu_usuario. - En lugar de eso, puedes copiar la siguiente configuración y pegarla en el fichero .htaccess del sitio web:
<Files wp-config.php> Order allow,deny Deny from all </Files>
Cambia el usuario admin
Una de las primeras cosas que deberías hacer es cambiar el usuario de administración de tu WordPress por otro cualquiera. Muchos ataques automatizados van directamente buscando opciones por defecto, usuarios por defecto y cualquier cosa que sea consistente en un gran número de sitios web. Si cambias el nombre del usuario de administración, harás mucho más difícil que un script automatizado te infecte.
Instala algún plugin para mejorar la seguridad
Afortunadamente, la comunidad de WordPress es enorme, y aporta gran cantidad de temas y plugins. Con respecto a la seguridad, hay empresas que ofrecen plugins muy completos para reforzarla. Estos cuatro plugins son de los más utilizados y completos:
Instala alguno de esos tres y revisa con frecuencia la seguridad de tu sitio web. Es tu responsabilidad como administrador.
Tienes más información (en inglés) sobre consejos para mejorar la seguridad de WordPress en el siguiente artículo de WordPress Codex:
