En este artículo nos referiremos a cómo mejorar la seguridad específicamente en sitios web que funcionan con WordPress, debido a que este es el CMS más utilizado actualmente debido a su facilidad de instalación y uso.
La seguridad es uno de esos ítems que se suelen pasar por alto hasta que es demasiado tarde para darle la debida importancia. Incluso los sitios web que uno pensaría que son más seguros han sido atacados y han sufrido alguna modificación o acceso indebido a información, como sucedió con la web del Ministerio de Defensa Nacional Chile en febrero de este año, cuando un grupo de piratas informáticos ganó acceso a su sitio web y cambió la información de la página principal del mismo.
Una buena forma de comenzar es verificar que su compañía de hosting le proporcione herramientas básicas de respaldo de datos y que tenga buenas opiniones de otros clientes.
Tenga en cuenta que ningún software es totalmente seguro y que con cualquier software para su sitio web tendrá que tener las mismas precauciones.
A continuación algunos tips para tener en cuenta a la hora de mejorar la seguridad en WordPress:
- Actualice su sistema rigurosamente, sobre todo cuando hay updates de seguridad disponibles, tanto lo que tiene que ver con la base de WordPress como también con las extensiones y temas. En el escritorio de WordPress se muestran las actualizaciones disponibles y ahí es posible ver de qué se trata cada una antes de aplicarla.
- Entre más extensiones (plugines) tiene, mayor también es la posibilidad de introducir fallas de seguridad. Por lo tanto una buena recomendación es que instale solo las extensiones necesarias.
- Realice copias de seguridad de su sistema, tanto de los archivos como de la base de datos. Tenga en cuenta que si respalda solo una de esas componentes no podrá restaurar el sistema ante una catástrofe. Hay algunas extensiones que se integran con Dropbox, Google Drive y Amazon S3, entre otros.
- Tenga a raya el spam, lo cual generalmente abre las puertas a troyanos y virus que pueden tener diversos efectos no deseados sobre el sistema y los usuarios. Lo mínimo que puede hacer es instalar y activar el plugin Akismet, el cual se hará cargo de la mayoría del spam.
- Existen otras extensiones específicas de seguridad tales como iThemes Security, el cual proporciona protección ante ataques de fuerta bruta, detecta cambios en los archivos, permite modificar la página de login, bloquea usuarios sospechosos, etc. Captcha on Login provee un capa de seguridad mayor a la hora de autenticarse.
- La mayoría de las vulnerabilidades se suelen presentar en el servidor de hosting, lo cual tiene relación con las versiones y características de php, bases de datos y otros lenguajes de programación que utilizan los CMS para operar. Existe una herramienta muy útil – la que tiene una versión gratuita – llamada CloudFlare – la cual opera a modo de proxy, de tal forma que hace de filtro de seguridad inicial, además de proteger contra cross site scripting, SQL injection y bots.
- Utilizar una contraseña difícil de obtener o adivinar. Existe software para intentar conseguir acceso no autorizado como usuario admin, los cuales realizan un ataque de fuerza bruta, por lo cual lo más indicado es configurar contraseñas de al menos diez caracteres, incluyendo minúsculas, al menos una mayúscula, un dígito y un caracter especial. Considere que lo anterior no será muy útil si se conecta desde sitios web inseguros o redes abiertas utilizando http en vez del protocolo seguro https.
