Hoy en día, una empresa necesita disponer de una página web que le dé una mejor presencia en Internet ante su audiencia online y, por ello, es importante saber cómo protegerla de potenciales amenazas.
La masificación en el uso de WordPress como plataforma web para la pequeña y mediana empresa hace que los empresarios deban conocer las medidas de seguridad básicas en esta plataforma, para no tener dificultades en el futuro (que intentaremos resumirlas en este artículo).
Pero, antes que nada, me gustaría que definamos a nuestro protagonista. WordPress es un sistema de gestión de contenido o CMS (Content Management System) centrado en la creación de blogs y páginas web.
Su facilidad de uso y mantenimiento, junto a sus potentes prestaciones, han hecho que sea una de las plataformas más utilizadas para la creación de páginas web de negocios. Y el hecho de ser de código modificable es, sin duda, uno de sus factores más determinantes, tanto para bien y como para mal.
¿Hasta qué punto es seguro?
La respuesta correcta es que es, como mínimo, tan seguro como cualquier sistema de programación web existente hoy en día y que, además, no hay ningún sistema totalmente seguro.
WordPress se usa en más de un 25% de las páginas web de todo el mundo. En los últimos años esta herramienta se ha impuesto sobre las demás y tiene una tendencia ascendente en el interés de las empresas.
Estas estadísticas son útiles para conocer el interés que genera la plataforma. Si vamos a Google Trends y hacemos una consulta sobre el interés que generan las distintas plataformas “CMS” a lo largo del mundo, vemos este resultado:
Sobre la seguridad de WordPress, estos datos dicen que la plataforma es la más popular y, por tanto, la que estadísticamente más ataques podría recibir, es decir, la popularidad en valores absolutos juega un poco en contra de la seguridad.
Pero, por otro lado, es precisamente esta gran popularidad y su mayor difusión la que hace que tenga una amplia comunidad de soporte, más actualizaciones y mejoras constantes. Partimos pues, de una plataforma segura, viva y que evoluciona más activamente que sus alternativas.
El problema, como siempre, es que hay una gran diferencia entre ser seguro y hacer segura nuestra página web. Un WordPress recién instalado, con la configuración básica por defecto, no es la plataforma más segura del mundo. Somos nosotros, los que usamos esta plataforma, los que tenemos trabajo por hacer.
Reducir las amenazas
La seguridad aquí la basaremos no tanto en herramientas externas, sino más bien en una buena instalación, configuración y, sobre todo, en el correcto uso de la plataforma. Estas buenas prácticas se resumen en once puntos:
1. Contraseñas más seguras
Un ataque de fuerza bruta es básicamente un programa ejecutándose en un ordenador, que hace pruebas continuas de combinaciones de contraseñas contra una web, hasta que encuentra la correcta.
Para evitar estos ataques, utiliza contraseñas complejas, combina mayúsculas, minúsculas, números y caracteres alfanuméricos.
Una contraseña como “12345” es descifrada inmediatamente por estos programas y para uno como “mipassword” solo se necesitan nueve horas para hacerlo. Si queréis probar la seguridad de vuestra contraseña, usad howsecureismypassword.net.
Para este tipo de amenaza, los plugins que limitan las veces que podemos introducir una contraseña son muy efectivos. Por ejemplo, Jetpack, Login, LockDown, etc. evitan que se hagan más de un número determinado de intentos de acceso.
2. Servidor de buena calidad
Escoger el hosting basándonos solo en el precio o lo atentos que son los comerciales es un error de bulto. Hay muy buenos proveedores y otros nefastos. La seguridad, la velocidad, la política de backups, la atención al cliente, etc. son factores mucho más importantes que el precio.
Un alojamiento web con un mal mantenimiento e inseguro afecta a todas las páginas alojadas en el mismo. Un ataque de denegación de servicio puede dejarnos sin web durante días si el servidor donde estamos alojados no está bien protegido.
3. La cuenta “admin”
Eliminad y dejad de usar las cuentas llamadas admin, administrador o root. Si usáis nombres de cuentas típicas o por defecto, os exponéis a ataques por fuerza bruta.
Cread una nueva cuenta y dadle permisos de Administración, no modifiquéis la cuenta actual. Para no entrar en detalles muy técnicos, es mejor no modificarla, para que no herede su identificador interno en la base de datos.
4. El alias o nombre real
Cuando creamos nuestro usuario, definimos nuestro “nombre de usuario”, que es con el que haremos login en WordPress y opcionalmente un alias. Usad el alias (o vuestro nombre real) para firmar vuestras publicaciones y así no revelaréis a los hackers vuestro “nombre usuario de acceso” ahorrándoles el trabajo.
5. Configuración y actualización de plugins
No instaléis plugins innecesarios, desactualizados o que ya no reciban soporte, mejor si solo usáis los del propio repositorio de WordPress. La mayoría de infecciones por malware o código malicioso vienen por vulnerabilidades en plugins o temas desactualizados o mal configurados.
6. La instalación
Hemos dicho que una de las razones de elegir WordPress es su soporte y sus actualizaciones continuas. Por ello, os recomiendo que siempre mantengáis vuestra plataforma web bien actualizada. Eso sí, siempre debéis hacer antes una copia de seguridad para evitar problemas futuros.
7. Plantillas piratas
Hacer uso de un tema o plantilla pirata es una de las peores cosas que podemos hacer. La cantidad de código malicioso incluido en esas plantillas es brutal. No os arriesguéis nunca, mejor comprad una plantilla o usad una gratuita, pero oficial.
Hay un plugin interesante para este punto: TAC, que escanea las plantillas en busca de código malicioso.
8. Plugin de seguridad
Wordfence o Sucuri son grandes ejemplos de plugins de seguridad. Detectan malware, modificaciones de archivos, etc. Haced uso de ellos si no queréis entrar en entresijos técnicos y buscáis un sistema de detección de problemas fiable.
9. Copias de seguridad
¡Sin excusas! Haced copias de seguridad regulares y guardadlas en diferentes sitios, por ejemplo, en vuestro Dropbox y en vuestro disco duro. Mis preferidos son BackWPUp, muy sencillo de usar, con posibilidad de copias en la nube, y Duplicator, un plugin tanto para hacer copias como para migrar instalaciones de WordPress de un servidor a otro. Recordad que el backup más costoso es el que no se hace.
10. El ordenador
No olvidéis vuestro ordenador. Sí, ese con el que accedéis a vuestro precioso WordPress. ¿De qué sirve todo lo que hemos visto hasta aquí si luego os roban la contraseña porque tenéis un virus o Keylogger infiltrado en vuestro ordenador?
Para empezar, dejad de usar “Explorer” y optad por Chrome o Firefox. Instalad un buen sistema de seguridad: antivirus, antimalware y firewall. Y tener un Mac tampoco es excusa, también se pueden infectar.
11. Sentido común
La última norma no escrita de seguridad es la más importante de todas: “Usad siempre el sentido común”. No dejéis vuestra contraseña a nadie, no abráis vuestra web en ordenadores públicos o con redes WiFi no seguras, etc., es decir, cuidad una de las herramientas comerciales más potentes de vuestro negocio.
¿Qué otra norma de seguridad básica podríais recomendarnos?
Foto: Nikolay Bachiyski