Lo prometido es deuda y hoy, por fin, cierro esta serie de cinco artículos acerca de cómo hacer que tu instalación de WordPress sea más segura con las dos últimas acciones:
- Hacer que tu WordPress no parezca un WordPress, y no de pistas
- Programar un sistema de backups.
Hacer que tu WordPress no parezca un WordPress, y no de pistas
Uno de los problemas de WordPress es que es muy poco discreto, le encanta declarar al mundo que es WordPress y lo hace en gran parte de su código. Y no hay una forma inicial en la instalación de ocultarlo.
Esto, que podría parecer una ventaja, se puede convertir, y de hecho lo es, en una amenaza.
Si, por ejemplo, nos ponemos a revisar el código de una página Web, y para ello basta con pulsar el botón secundario del navegador y en el menú contextual escoger la opción “Ver código fuente de la página”. podremos descubrir muchísima información acerca del sitio:
Como si es un WordPress, la versión del mismo, que Theme está usando, qué plugins tiene instalados… Esto con un simple vistazo al código, así que imaginaros lo que puede recopilar un robot lanzado por una persona con malas intenciones.
Por ejemplo, si abres una ventana con el código fuente de una página y buscas la cadena “Generator” podrás conocer, si es que la instalación está por defecto, la versión de WordPress instalada.
O si buscas la cadena “wp-” podrás encontrar referencias a las carpetas wp-admin, wp-content o wp-includes.
Si buscas la cadena “Theme” encontrarás el nombre del Theme activo, vale habrá casos que esto no te sirva de mucho por que sea un Theme personalizado.
Si buscas por la cadena “plugins”, tendrás un listado completo de los plugins activos… y así hasta el infinito… y más allá.
A ver, esto en si no es un problema grave, ocurre como ya comenté en el primero de estos artículos cuando decía que no era conveniente mostrar el nombre del usuario para no facilitar el trabajo. Aquí es lo mismo, si no damos pistas acerca de nuestra instalación y el robot que pasa no es capaz de averiguar que tenemos un WordPress, pasará de largo y se irá a buscar otro WordPress más vulnerable, solo eso.
Para «camuflar” nuestro WordPress tenemos un fantástico plugin que nos permite, cual Tenorio en las noches sevillanas, pasar lo más desapercibidos posibles. Estamos hablando de WP Hide & Security Enhancer.
Con este plugin vamos a poder, entre otras muchas cosas, personalizar la URL de administración, bloquear la Url por defecto, personalizar el nombre del archivo wp-login.php, o el de las carpetas por defecto, el nombre del archivo de estilos…. De esa forma daremos menos pistas a los amigos de lo ajeno.
Programar un sistema de backups.
Mediante un sistema de Backups no vamos a evitar un ataque, para nada, pero si que es conveniente que tengamos copias de seguridad de nuestro sitio, y que las realicemos de forma periódica.
De esta forma y si a pesar del resto de medidas nos encontramos con que un dia nos han echado abajo el sitio, o descubrimos que hemos sido infectados, o incluso si algún plugin o Theme nos fastidia nuestro sitio Web, siempre podremos volver a una versión anterior del mismo en vez de perder el tiempo intentando arreglar el desaguisado (por experiencia con clientes que me llaman cuando ya no hay remedio, os puedo asegurar que intentar arreglar una Web pirateada es una verdadera odisea).
Para establecer un sistema de backups tenemos que tener en cuenta, antes que nada que en una instalación de WordPress son dos los elementos a respaldar, la propia instalación y la base de datos.
Existen tres métodos para poder realizar un backup en WordPress, de forma manual, mediante el servicio de backups que nos ofrecen ya muchos proveedores de hosting o mediante plugins que instalemos en nuestro WordPress.
El primero de ellos, de forma manual, tiene un inconveniente, o dos, de entrada: Que tendremos que realizarlo nosotros regularmente y, como decía al principio,que tendremos que realizar tanto el respaldo de la instalación como el de la base de datos. Mala idea…
En cuanto a los servicios de Backup que ofrecen los proveedores de hosting, lo primero es asegurarte si el que ahora tienes lo ofrece, si no es así, deberías plantearte el cambiar de proveedor, ya que si no te ofrece esto, seguro que habrá muchas otras cosas que tampoco te ofrecerá.
En caso de estar en el segundo caso, si lo ofrece, mira en tu cpanel o herramienta de administración del hosting, asegurate de que esté habilitado y revisa con qué frecuencia se realiza el backup y como se realiza el proceso de restauración.
La última opción es usar un plugin de backup dentro del propio WordPress, que te va a permitir configurar los respaldos parciales o totales de tu instalación y la frecuencia de los mismos, o hacer uno de forma puntual cuando, por ejemplo, vayas a realizar una actualización grande de WordPress o de algún plugin crítico (por ejemplo de WooCommerce).
Si te encuentras en una de estas situaciones de actualización, te recomiendo encarecidamente que antes hagas un Backup, no tanto de WordPress, que también, como de los plugins.
Todavía recuerdo la que se armó entre la comunidad de WordPress cuando Woocommerce actualizo a la versión 2.6, hubo gente que sudó sangre de los desaguisados que se armaron. Si hubieran hecho un Backup antes hubiera bastado con restaurar esa versión y esperar que el desarrollador liberase una versión sin problemas.
Bien respecto a los plugins, no me voy a extender, esto daría para uno o varios artículos. Recomiendo cuatro (a elegir entre uno de ellos, claro: BackWPup, UpdraftPlus, Backup Buddy y Duplicator, este último no es un plugin de backup como tal si no que está, estaba, pensado inicialmente para poder migrar un WordPress de un sitio a otro, pero en su versión Pro es una buena alternativa para realizar las copias de seguridad de un sitio.
Todos ellos tienen, evidentemente, versión gratuita en el repositorio de WordPress y versión de pago. Os recomiendo la segunda opción ya que, en la mayoría de los casos, la opción de programar los Backups y/o de almacenarlos en Google Drive, Amazon, Dropbox o un FTP , viene en la versión de pago. Una recomendación, bien sea de forma manual o automática, realizar vuestro backup en horas de poco tráfico, como por ejemplo de madrugada.
Y si quieres, estar 100% tranquilo, sin duda la opción es VaultPress de Automatic que, si no lo sabéis, es la empresa creadora de WordPress y que te realiza backups diarios o en tiempo real, en función de la subscripción que adquieras. Además, aunque tiene un plugin en el repositorio de WordPress que es gratuito, todo se realiza desde un panel de control externo al propio WordPress, con lo que en el caso de tener nuestro servidor inservible siempre podemos restaurarlo.
Ah, como podéis ver en la imagen es un SaaS o Software as a Service, lo que quiere decir que hay que pasar por caja si o si, pero te olvidas de problemas y disgustos, os aseguro que vale la pena.
Por último y no he hablado de esto a posta, tenemos los plugins de seguridad. Os recomiendo 2: Sucuri Security y Wordfence Security dos plugins que protegerán, e incluso limpian en caso de ataque, nuestra instalación.
No te vayas todavía
Bien y con esto acabamos, hemos visto bastantes formas de hacer nuestro WordPress más seguro, aunque hay más cosas pero en resumen hemos visto:
- Como mejorar la seguridad de nuestras contraseñas.
- Dificultar que los hackers tengan acceso a los usuarios que tenemos.
- Securizar y proteger el acceso al panel de administración (wp-admin) y a la configuración de nuestro WordPress (wp-config.php).
- Cambiar el prefijo de la base de datos.
- Desactivar el editor de archivos de nuestro WordPress.
- Establecer las keys y salt de seguridad para fortalecer las cookies.
- Añadir cabeceras de seguridad HTTP a nuestro servidor.
- Asignar los permisos adecuados a las carpetas y archivos de nuestro servidor Web.
- Hacer que tu WordPress no parezca un WordPress, y no de pistas.
- Programar un sistema de backups.
