Un sitio web seguro
A menudo vemos sitios Web que desaparecen o son abandonados debido a fallos en su seguridad. Los ataques de fuerza bruta o infecciones de malware son más frecuentes de lo que parece.
WordPress.org es una plataforma bastante vulnerable pero, afortunadamente, hay algunas cosas que se pueden hacer para evitar dichos ataques e infecciones.
En Blogpocket, hemos optado por un método que nos lleva a la tranquilidad en cuanto a la seguridad. No hay sitio Web inviolable; entre otras cosas porque las técnicas de ataque son cada vez más sofisticadas. Pero, por lo menos, tenemos una probabilidad bastante alta de poder recuperar el sitio ante una destrucción total o parcial por accidente, ataque o infección.
Prevenimos mediante un buen hosting, que nos aporta 30 copias de seguridad y un excelente servicio de firewall proporcionado por un tercer proveedor.
Recursos de seguridad
Los recursos de seguridad que utilizamos en Blogpocket son los siguientes.
- Infraestructura hardware y software suministrada por SiteGround. El hosting que te recomendamos en Blogpocket es Greengeeks. Posee un sistema de copias de seguridad con el que puedes recuperar parcial o completamente tu instalación de WordPress, además de una infraestructura preparada, no solo para la seguridad sino también para el rendimiento.
- Wordfence. Con el plugin WordFence, WordPress ya no es tan vulnerable. En el siguiente artículo se explica cómo configurarlo: Cómo configurar Wordfence, el plugin de seguridad de WordPress.
- Sucuri. Sucuri es un servicio de pago, en el que se puede también activar un firewall, que te permite realizar escaneos de malware con frecuencia. Además de la detección, se realiza la limpieza en caso de infección.
Cómo proteger un sitio web de WordPress
A nivel de seguridad en WordPress, a menudo vemos sitios Web que desaparecen o son abandonados debido a fallos. Los ataques de fuerza bruta o infecciones de malware son más frecuentes de lo que parece.
WordPress.org es una plataforma bastante vulnerable pero, afortunadamente, hay algunas cosas que se pueden hacer para evitar dichos ataques e infecciones.
En Blogpocket, hemos optado por un método que nos lleva a la tranquilidad en cuanto a la seguridad. No hay sitio Web inviolable; entre otras cosas porque las técnicas de ataque son cada vez más sofisticadas. Pero, por lo menos, tenemos una probabilidad bastante alta de poder recuperar el sitio ante una destrucción total o parcial por accidente, ataque o infección.
Prevenimos mediante un buen hosting, que nos aporta 30 copias de seguridad y un excelente servicio de firewall proporcionado por un tercer proveedor.
El propósito de este artículo es subrayar que la seguridad en WordPress es probablemente una de sus características más importante.
¿Existe una manera absoluta de proteger de los piratas informáticos un sitio web o blog de WordPress?
Desgraciadamente, no. En este post quiero precisamente reflexionar sobre ello y que aprendas que uno nunca está a salvo al 100% de los ataques del pirateo informático internacional. Sin embargo, hay algo que puedes hacer para minimizar al máximo los riesgos. Y eso es lo se resalta en este post. ¡Y qué método y herramientas debes de usar para ello!
Los tres niveles de la seguridad en WordPress contra el pirateo informático
Los tres niveles de seguridad son los siguientes.
- Hosting. La primera barrera la pone tu servicio de alojamiento web. En SiteGround ya están preparados para la seguridad, a nivel de protocolo HTTP, de tercera generación. ¡Y no olvides activar el protocolo HTTPS.
- WordPress. El segundo punto de protección se basa en un plugin de seguridad específico para WordPress. En Blogpocket recomendamos Wordfence por su facilidad de configuración (casi plug&play) y eficacia. Dentro de Wordfence es muy recomendable que actives el firewall extendido. También es aconsejable es uso de un CDN del estilo de Cloudflare (gratuito) o Sucuri (de pago).
- Tú mismo. Y el tercer muro de contención eres tú mismo. Debes adquirir buenos hábitos como el uso de contraseñas fuertes y otras medidas de seguridad básicas. Entre ellas, realizar copias de seguridad frecuentes y confiables es esencial.
Pasos para proteger tu instalación de WordPress de los pirata informáticos
Este vídeo pertenece al Curso de WordPress para impacientes y en él se explica el método para asegurar un sitio web de WordPress.
En resumen, los pasos para proteger tu instalación de WordPress son:
- Configurar las actualizaciones automáticas. La primera medida de seguridad es asegurar que el software de WordPress está siempre actualizado a la última versión.
- Instalar Wordfence. Este es el complemento de seguridad que garantiza una protección eficaz a nivel de la aplicación WordPress. Por supuesto el primer nivel de defensa se encuentra en el hosting, pero de eso se encarga SiteGround. Wordfence es un plugin; es decir una extensión que permite añadir funciones a tu web. WordPress permite instalar muchos plugins; así como themes (plantillas). Eso es lo que va a darte la posibilidad de configurar tu web.
- Configurar firewall extendido. Esta es una función de Wordfence que no viene activada por defecto y que es muy recomendable que esté habilitada para completar la protección contra ataques de piratas informáticos, infecciones de malware, etc.
El firewall de Worfence es un mecanismo adicional que posee el plugin Wordfence y que, por defecto, no está activado.
En la video checklist con todos los pasos para crear una web de WordPress encontrarás los tutoriales para activar el firewall de Wordfence tanto en cPanel como en el panel de control SiteTools de SiteGround (paso 9)
Acude al Curso de GreenGeeks para ver cómo se habilita el firewall extendido de Wordfence con el cPanel de GreenGeeks.
1. Configurar actualizaciones automáticas
Una vez instalado WordPress, es preciso realizar la configuración de actualizaciones automáticas de la aplicación. En SiteGround es muy fácil automatizarlo y en el vídeo siguiente se explica en detalle.
Si requieres conocer las diferencias con el nuevo área de cliente y Site Tools de SiteGround, consulta este artículo.
A fecha de publicación de esta guía, todas las cuentas de SiteGround han debido migrarse a Site Tools.
¿Cómo se hace en SiteTools la configuración de actualizaciones automáticas?
En Site Tools de SiteGround, las actualizaciones automáticas de WordPress se configuran tal y como se indica en el siguiente vídeo.
¿Cómo se hace en GreenGeeks la configuración de actualizaciones automáticas?
El siguiente vídeo muestra cómo se gestionan las instalaciones de WordPress y como se pueden configurar las actualizaciones automáticas en GreenGeeks.
2. Instalar Wordfence y habilitar el firewall extendido
La instalación automática de WordPress en SiteGround, sobre cPanel, lleva consigo la intalación del plugin Loginizer. Sin embargo, en Site Tools es una instalación limpia, solo con el plugin SG Optimizer.
- SG Optimizer es un plugin de SiteGround cuya misión principal es la optimización de los recursos que usa tu web mediante el sistema de almacenamiento en caché propio denominado SuperCacher.
Loginizer es una primera contención, muy básica, en el panel de entrada al administrador de WordPress. Como primera medida, en la puesta en marcha de un sitio web, sirve pero enseguida debemos contemplar reforzar la seguridad con el plugin Wordfence, mucho más completo y con más posibilidades, desactivando y borrando previamente Loginizer.
Es de destacar, como ya hemos mencionado, la función de Firewall extendido, que se debe activar nada más activar Wordfence.
En el siguiente vídeo se explica en detalle todo lo relacionado con la seguridad en WordPress; Wordfence y su configuración, incluyendo la manera de activar el firewall extendido.
A fecha de publicación de esta guía, todas las cuentas de SiteGround han debido ser migradas a Site Tools.
Para más información sobre la configuración de Wordfence, lee Cómo configurar Wordfence, el plugin de seguridad de WordPress.
¿Cómo se hace en Site Tools la activación del firewall extendido?
Activar la opción de firewall extendido supone actualizar el archivo php.ini del servidor. Afortunadamente, tanto en cPanel como en Site Tools existe la posibilidad de asignar valores a variables PHP muy fácilmente. En el vídeo anterior aprendiste a hacerlo con cPanel. Veamos, a continuación, cómo se hace en Site Tools.
A fecha de publicación de esta guía, todas las cuentas de SiteGround han debido ser migradas a Site Tools.
¿Cómo se hace en Green Geeks la configuración de Wordfence?
En el siguiente vídeo vemos cómo instalar y configurar Wordfence en GreenGeeks. Realmente, en este punto no hay diferencia con SiteGround, ya que Wordfence es un plugin de WordPress y una vez que tengas instalada la aplicación, solo hay que instalar y activar el complemento.
¿Cómo se hace en GreenGeeks la activación del firewall extendido de Wordfence?
A continuación, en el vídeo se explica cómo habilitar la opción de firewall extendido de Wordfence en GreenGeeks.
¿Existen otros plugins de seguridad, además de Wordfence?
Claro que sí: el plugin iThemes Security también es muy recomendable. Lee aquí cómo se configura: Cómo configurar el plugin de WordPress iThemes Security.
¿Qué es CloudFlare?
Cloudflare es un servicio gratuito que proporciona un firewall entre los usuarios y el servidor web que aloja tu blog (o sitio web).
Cloudflare te protege con una capa completa de defensa, incluyendo un firewall de aplicación web (WAF) integrado, para detener los ataques de todos los tipos y tamaños. Además, también incluye funciones para optimizar el rendimiento.
La conexión a Cloudflare se realiza con un clic desde cPanel en SiteGround. Y así mismo puedes administrarlo desde cPanel sin necesidad de iniciar una sesión en la aplicación de Cloudflare.
Es recomendable conectar tu blog (o sitio web) a Cloudflare, una vez que hayas completado todos los pasos del método Blogpocket para crear un blog.
Aprende más sobre Cloudflare en Velocidad y seguridad de tu blog: cómo mejorar con CloudFlare.
¿Qué es Sucuri?
Sucuri es un servicio de pago, alternativo a Cloudflare. Existe el plugin gratuito correspondiente que puede servir para detectar posibles infecciones de malware. Pero el plan de pago es mucho más completo, incluyendo un potentísimo firewall y una función de limpieza del sitio si este se ha infectado de malware.
Con la versión de pago de Sucuri no tendrás problemas a la hora de proteger tu blog (o sitio web) contra ataques de fuerza bruta e infecciones de malware.
Sucuri es compatible con Wordfence y con los sistemas de almacenamiento en caché más conocidos.
El recaptcha invisible de Google
Otro artefacto que potenciará la seguridad de tu sitio web, sobre todo en los formularios (incluido el de la página de login a la página de administración) es el captcha. Sin embargo, los captchas han venido siendo una incomodidad para los bots y también para nosotros los humanos 😉
Afortunadamente, Google evolucionó su captcha hacia la versión 3 que supone un gran avance, al ser invisible tanto para bots como para humanos. Wordfence posee la posibilidad de activar diversos mecanismos de protección de la página de login al dashboard de WordPress, incluyendo reCaptcha V3 de Google, entre ellos.
Akismet
Protegerte del spam (en los comentarios y en cualquier formulario que tengas preparado en tu web) también es cuestión de seguridad. Akismet es el plugin de WordPress por antonomasia. Aprende en esta guía a configurar Akismet: Akismet, plugin de WordPress antispam.
Deja una respuesta