Tutorial de seguridad en Wordpress

El siguiente tutoríal fue creado por para informar como proteger WordPress de hackeos.
El tutorial consiste en varios tips para subir la seguridad a WordPress y no ser una víctima fácil.
Los tips son de carácter básico, sin profundizar mucho y las medidas básicas, que hacer cuando es hackeado.

IDENTIFICANDO VULNERABILIDADES

Las vulnerabilidades que tengas potencialmente en tu sitio con WordPress varían desde la cantidad de plugins instalados hasta la configuración del server (hosting) pero nos vamos a enfocar principalmente en WordPress.

Recomendaciones:

Tener ultima versión de WordPress
Tener un theme que no dependa de plugins
Mantener lo mas mínimo de Plugins
Tener los plugins actualizados
Realiza un scanner a tu sitio aquí si tiene alguna vulnerabilidad.

HOSTING

Primero es tener un buen hosting ósea servidor y ojalá no share son mas costosos pero tenemos menos probabilidad de ser hackiados, si sufres un hackeo en un servidor share es bueno saber quienes son tus vecinos, ósea los otros sitios con cuales compartes el servidor para saber fuiste hackeado individualmente o fue un hackeo al servidor y todos los sitios que aloja el servidor fueron afectados. para ver quienes son tus vecinos de web a traves de la ip del servidor que esta alojado tu wordpress están las siguientes herramientas.

obtener ip por medio de dominio
ver con quien compartes servidor, por ip en yougetsignal.com
ver con quien compartes servidor, por ip en viewdns.info

VERSION

ocultar la versión de wordpress nunca esta demás es una lógica de seguridad, por que los atacantes saben si tiene alguna vulnerabilidad nuestro WordPress por la versión ejemplo de un exploit

para ocultar la versión de wordpress debes hacer lo siguiente:

Tienes que entrar vía ftp al directorio raíz donde esta instalado WordPress y borrar el archivo readme.txt ya borrado debes ir al directorio del theme que utilizas ejemplo wp-contentthemes/mi_theme (mi_theme es el theme que uso.) ya dentro del directorio tienes que editar el archivo fuctions.php y añadir en la primera linea.

remove_action(‘wp_head’,’wp_generator’);
remove_action(‘wp_head’,’wlwmanifest_link’);
remove_action(‘wp_head’,’rsd_link’);

este código es el que elimina la versión a cada pagina generada por wordpress.

sin este codigo genera wordpress en todas sus paginas el meta de generador donde muestra la versión del WordPress puedes revisar tu WordPress solo viendo el código fuente desde el navegador firefox, chrome, etc..

se ve así

realizando estos 2 cambios ya estamos dando mas seguridad a nuestro wordpress.

SELECCIONAR PLUGINS

Es tan simple como cambiar la costumbre de bajar e instalar un plugin y listo. hasta los plugins de pago tienen vulnerabilidades por esto no confíes.

lo recomendado es ver cuantas actualizaciones tiene, si tiene muchas es que los desarrolladores se preocupan y lo mantienen vigente y actual, si esta discontinuado o tiene mucho tiempo sin alguna actualización busca otra alternativa, también busca si aparece la versión del plugin con algún exploit en los siguientes links

wpvulndb.com
wordpressexploit.com

PLUGINS RECOMENDADOS

CAMBIAR EL ADMIN

Siempre instalamos wordpress y nos olvidamos del usuario admin o lo seguimos usando ya que no se puede eliminar pero todos saben que este usuario es el administrador el amo y señor que tiene acesso a todo nuestro sitio y es el objetivo principal para el hacker para poder administrar y nuestro sitio y añadir sus archivos con código malicioso. y es tan fácil de ver quien es el súper admin por que wordpress lo deja con el id 1 lo pueden comprobar.

www.tu-sitio.com/?author=1
www.tu-sitio.com/author/admin/

Para cambiar tienes que ir a tu panel de control de WordPress entrar con tu usuario y contraseña y entrar a usuarios elegir admin y editarlo, cambiando el nombre de admin por otro.

una vez realizado esto necesitas cambiar el id para que no sea tan fácil identificar el admin por que todavía sigue siendo el primer usuario. para cambiar el id del usuario admin necesitamos entrar a la base datos del WordPress por que vamos a ejecutar una linea comandos en mysql, por esta razón tenemos que entrar phpmyadmin seleccionamos la base de datos del WordPress y vamos al botón SQL y colocamos:

UPDATE wp_users SET ID = 1024 WHERE ID = 1;
UPDATE wp_usermeta SET user_id = 1024 WHERE user_id = 1;

tocamos el botón continuar y estaría listo.
(puedes cambiar el numero “1024” por otro superior)
si da un conflicto puedes utilizar el siguiente código

ALTER TABLE wp_users AUTO_INCREMENT = 2048

PROTECCIÓN DIRECTORIOS Y ARCHIVOS

Para evitar que encuentren nuestro sitio vulnerable en los diferentes buscadores es recomendable editar el archivo robots.txt en el directorio raíz de tu wordpress, o si no existe crearlo y escribir dentro del archivo

User-agent: *
Disallow: /cgi-bin/
Disallow: /wp-admin/
Disallow: /wp-includes/
Disallow: /wp-content/plugins/
Disallow: /wp-content/cache/
Disallow: /wp-content/themes/
Disallow: /trackbak/
Disallow: /comments/
Disallow: /category/*/*
Disallow: */trackback/
Disallow: */feed/
Disallow: */comments/
Disallow: /*?

para evitar que indexen los directorios de wordpress editar el archivo.htaccessdei directorio raíz y añadir al final

Options All -Indexes

si el ftp no muestra el archivo .htaccess debes configurar el cliente ftp para que muestre los archivos ocultos.

ME HAN HACKIADO WORDPRESS

si tuviste la mala suerte de que tu WordPress se cruzo con un hacker y no tienes un respaldo, lo mas saludable es entrar al ftp y descargar el directoriowp-contentuploady revisar los archivos de este directorio, eliminar todos los archivos con extensión php y los archivos que no hayas subido tu o los que administran WordPress.

después que lo descargaste es borrar todo el contenido del directorio, reinstalar wordpress seleccionado la misma base de datos, instalar el theme y los plugins que utilizas.

Hacer lo de este tutorial, para que no te vuelva a ocurrir.

(ojo que si respaldas mal puedes perder toda la información y los archivos)

RESPALDAR WORDPRESS

Para respaldar hay varias formas puedes a través del cpanel de tu hosting (si es que tiene)

a traves de un plugin de wordpress (ocupa el método de seleccionar un plugins)

o de manera casera, lenta pero segura entrar a phpmyadmin seleccionar la base datos de wordpress y exportar. entrar al ftp y descargar todos los archivos del directorio raiz de tu wordpress.

(Precaución que si respaldas mal puedes perder toda la información y los archivos)

Photo by Scott Webb on Unsplash

El siguiente tutoríal fue creado por para informar como proteger WordPress de hackeos.El tutorial consiste en varios tips para subir la seguridad a WordPress y no ser una víctima fácil.Los tips son de carácter básico, sin profundizar mucho y las medidas básicas, que hacer cuando es hackeado.