Seguridad en sitios Wordpress Por Mtech (18/07/2016)

Blog sobre Seguridad informatica en Argentina

Seguridad en sitios Wordpress

Tips, consejos y plugins para que tu sitio Wordpress sea seguro, evitar consumo de recursos excesivo, caidas del sitio e incluso que sea bloqueado por el prestador de hosting.

Sobre Wordpress y seguridad

Wordpress es uno de los sistemas CMS tipo crealo tu mismo mas utilizado en el mundo. Tambien Wordpress es uno de los CMS con mas problemas de seguridad en el mundo. Los sitios Wordpress son continuamente atacados. ¿Por que? Son atacados porque el codigo es libre y las vulnerabilidades se conocen al poco tiempo de que las nuevas versiones salen. Ademas son millones los sitios que aunque puedan parecer distintos la estructura es similar permitiendo a los ataquentes realizar estas maniobras de forma masiva, solo deben esperar que un sitio wordpress no este actualizado, no tenga plugins de seguridad o falla de seguridad en el servidor para poder realizar tareas nefastas en el sitios. Pero no te preocupes! solo debes instalar plugins de seguridad y seguir algunos consejos para que tu sitio Wordpress sea seguro.

Backups

Lo mas importante es tener backups o almenos asegurarte que tu proveedor de hosting los realice por ti. De esta forma pase lo que pase siempre tendras una copia de seguridad y como maximo perderas algunos pocos dias de trabajo.

Mantener Wordpress actualizado

Wordpress en forma continua crea nuevas versiones y es de vital importancia que siempre este actualizado ya que lo mas importante de estas actualizaciones suele ser que corrigen errores de seguridad. Desde el panel de control, Wordpress permite actualizarlo en solo unos clicks.

Asegurar tu pagina de Login

Tu contraseñas deben tener almenos 7 letras, mayusculas y numeros. Aunque no los veas, continuamente hay robots intentando ingresar a tu cuenta. Normalmente los proveedores de hosting bloquean estos ataques luego de 50 o 60 intentos pero si tu clave es por ej. hola123, tu sitio pronto estara en problemas.

Ademas existen plugins para incluir un captcha en tu login page y evitar que robots indeseados intenten acceder. Uno de los plugins que puedes utilizar es WP login recaptcha

Plugins para securizar Wordpress

Instala almenos un plugin dedicado a seguridad en tu sitio Wordpress, normalmente estos plugin revisaran los permisos de tus directorios, que los scripts para subir archivos sean seguros y realizaran tareas diarias para que tu sitio se mantenga seguro.

Algunos de los plugin mas usados son iThemes Security y Wordfence Security.

Controla la seguridad de Wordpress

Existen sitios que escanean tu sitio web en busca de malware, backdoors, blacklist y errores entre otras fallas de seguridad. Realizar estas comprobaciones puede realmente ayudar a evitar grandes problemas a futuro.

Controla tus estadisticas

Dependiendo el panel de control que utilices puedes saber mucho sobre tu sitio desde las estadisticas y esto puede ayudarte a encontrar ataques a tu sitio Wordpress.

Desde las estadisticas puedes ver la cantidad de veces que fue vista la pagina wp-login.php, si fue vista un gran numero de veces por ej. 20.000 tu sitio esta siendo atacado por robots que intentan acceder a tu cuenta. En este caso debes contactarte con el proveedor de hosting para que ajuste las medidas de seguridad en el servidor o instalar un plugin para tener un login con captcha por ej. WP login recaptcha.

Si tienes ips que visitan excesivamente tu sitio es posible que sean robots pero debes tener cuidado porque algunos robots son de google y otros buscadores. Existen muchas herramientas online para ver de donde proviene la ip. Si la IP pertenece a China o Rusia ni dudes en bloquearla desde el panel de control.

XMLRPC

Wordpres utiliza un archivo llamado xmlrpc.php en el directorio base del sitio. Wordpress utiliza este archivo como api para cargar contenido de forma externa al panel de control, por ej. publicar post con una aplicacion de escritorio creada por ti.

Millones de sitios Wordpress han sido atacados mediante un ataque de denegacion del servicio distribuido o DDOS culpa del archivo xmlrpc que wordpress trae activo por defecto.

Como asegurar mi sitio

 

  • Muchos proveedores de hosting bloquean el acceso al archivo xmlrpc por robots.
  • Desactivar xmlrpc desde el panel de control en Wordpress
  • Borrar el archivo xmlrpc.php de /public_html
  • Quitar permisos de lectura al archivo xmlrpc.php (recomendado)
  • Revisa si tu sitio esta siendo atacado

Comparte tu opinion o comenta

Cuenta tu opinion o amplia el contenido del articulo