Buenas prácticas y consejos de seguridad en WordPress

Buenas prácticas y consejos de seguridad en WordPress

14 de septiembre de 2022

Te explicamos una lista de buenas prácticas e ideas que puedes llevar a cabo para proteger tu web:

Configurar una cuenta de correo por SMTP

Aunque no influya directamente en la seguridad de tu web, nunca está de más mejorar la calidad de tus correos.

Imagina que hackean tu web y tienes que resetear los usuarios como te contábamos en este otro artículo. Si tus correos no están bien configurados y no se entregan los usuarios nunca podrán solicitar la recuperación de contraseña.

Configurar un correo SMTP permitirá que los correos de tu web no los mande tu propia web sino tu servicio de correo contratado. De esta manera la reputación de los mismos será mucho mejor y es muy menos probable que Hotmail o Gmail los rechacen o los envíen a carpetas de spam.

Para eso necesitas una cuenta de correo que pueda enviar correos, su contraseña y los datos de configuración del hosting.

Después instala el plugin post SMTP y configura la cuenta.

Configuración de Post SMTP en WordPress

Envía un correo de prueba y si lo recibes es que está bien configurado.

Configurar un Captcha en formularios y login

Instalar un Captcha en el formulario de acceso a tu web añadirá una barrera de seguridad contra intentos de login automatizados y robots.

Hay varias maneras de instalarlos. Puedes mirar aquí cómo hacerlo.

Los Captcha están pensados para distinguir a los robots.

Cambia las claves de cifrado de WordPress

Las cookies de sesión de WordPress almacenan la contraseña cifrada de cada usuario para que la próxima vez que acceda a la web ya esté conectado. Añadir claves de cifrado nuevas y seguras permitirá que tus contraseñas no queden expuestas a través de tus cookies. Cambiarlas con relativa frecuencia puede mejorar notablemente la seguridad de tu web.

Puedes leer en este otro artículo como cambiarlas.

Cómo cambiar las contraseñas de WordPress.

Ocultar ficheros y directorios por .htaccess

Es habitual que a la hora de desarrollar una web se cree una nueva carpeta y y mover la web vieja dentro, o hacer una exportación de la base de datos y dejar el fichero SQL en la raíz, o incluso añadir algún código específico de WordPress en un fichero en la raíz.

Ya sea por despiste o por desconocimiento, la realidad es que muchas veces se quedan ficheros que son accesibles desde el navegador y no nos damos cuenta. Es cierto que WordPress redirige todas las URL que escribimos y si no existen las envía a la página 404, el problema es que si el fichero sí existe, WordPress no interviene y se abrirá directamente.

Si no quieres borrar contenido o no tienes muy claro si tienes que hacerlo, puedes utilizar este pequeño consejo para ocultarlo a los navegadores y que solo sea accesible a través de FTP.

Si quieres ocultar un fichero, abre .htaccess e indica que quieres bloquearlo de la siguiente manera:

<Files readme.html>
    Order Allow,Deny
    Deny from all
</Files>

También puedes copiar este código para bloquear todos los ficheros habituales que no son html o php para asegurarte que impides el acceso a cualquier fichero que se quede ahí por error:


<FilesMatch "\.(htaccess|htpasswd|ini|log|sh|inc|bak|sql)$">
    Order Allow,Deny 
    Deny from all
</FilesMatch>

Si quieres ocultar una carpeta con todos sus ficheros, dentro de ella crea o edita el fichero .htaccess y añade este código:

# Apache 2.4

<IfModule mod_authz_core.c>
    Require all denied
</IfModule>

# Apache 2.2

<IfModule !mod_authz_core.c>
    Order Allow,Deny
    Deny from all
</IfModule>

Aunque no son ficheros críticos si quieres puedes aprovechar y ocultar permanentemente los ficheros readme.html y license.txt que crea WordPress automáticamente en cada actualización.

Instalar WordFence

Ese plugin es tu estrategia definitiva contra los hackers. Añadirá un cortafuegos que bloqueará las IPs peligrosas, te permitirá instalar un Captcha en el login de WordPress, impedirá ataques de fuerza bruta, añadirá un registro de todos los accesos y logins de desde que está activo y te mandará correos cuando pasen cosas peligrosas en tu web.

No usar usuario admin

Aunque no es realmente necesario, es una buena práctica no utilizar nombres comunes en las cuentas de usuario de tu web.

En cualquier intento de acceso ilícito lo primero que van a intentar descubrir es la contraseña del usuario admin. Si en tu web no existe este usuario admin, te aseguras de que antes de empezar a atacar tienen que descubrir el nombre de tu usuario.

Por la misma razón, otra buena idea es tampoco usar el dominio o el de tu cuenta de correo como nombre de usuario.

Enmascarar URL del backend

Hay muy pocas razones (por no decir ninguna) en la que alguien necesite acceder a la URL de /wp-admin si no es el administrador. En la mayoría de los casos serán curiosos, usuarios malintencionados, o robots con intenciones dañinas.

Así que una buena estrategia es ocultar la ventana de login de tu WP. Es un pequeño paso más para ponérselo difícil a los intentos de ataques por fuerza bruta y robots automatizados.

La manera más fácil y rápida es instalar el plugin WPS Hide Login. Un plugin muy liviano con el único objetivo que de enmascarar tu dirección de acceso y que además se suele actualizar con frecuencia.

Atención: Ten en cuenta que una vez lo instales tu url de acceso cambiará y tendrás que recordarla cuando quieras volver a acceder. Si la olvidas tendrás que desactivar el plugin desde un acceso FTP ya que no podrás acceder a tu backend.

Cookie	Duración	Descripción
_GRECAPTCHA	5 months 27 days	Google Recaptcha service sets this cookie to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-analiticas	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analíticas".
cookielawinfo-checkbox-funcionales	1 year	Set by the GDPR Cookie Consent plugin to store the user consent for cookies in the category "Funcionales".
cookielawinfo-checkbox-necesarias	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-otras	1 year	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Otras"
cookielawinfo-checkbox-publicitarias	1 year	Set by the GDPR Cookie Consent plugin to store the user consent for cookies in the category "Publicitarias".
cookielawinfo-checkbox-rendimiento	1 year	Set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the "Rendimiento" category .
CookieLawInfoConsent	1 year	CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
VISITOR_INFO1_LIVE	5 months 27 days	YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface.
YSC	session	Youtube sets this cookie to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt-remote-device-id	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt.innertube::nextId	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Duración	Descripción
_ga	1 year 1 month 4 days	Google Analytics sets this cookie to calculate visitor, session and campaign data and track site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognise unique visitors.
_ga_*	1 year 1 month 4 days	Google Analytics sets this cookie to store and count page views.
_gat_gtag_UA_*	1 minute	Google Analytics sets this cookie to store a unique user ID.
_gid	1 day	Google Analytics sets this cookie to store information on how visitors use a website while also creating an analytics report of the website's performance. Some of the collected data includes the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded YouTube videos and registers anonymous statistical data.
vuid	1 year 1 month 4 days	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos on the website.

Cookie	Duración	Descripción
__cf_bm	30 minutes	Cloudflare set the cookie to support Cloudflare Bot Management.
aka_debug	session	Vimeo sets this cookie which is essential for the website to play video functionality.
player	1 year	Vimeo uses this cookie to save the user's preferences when playing embedded videos from Vimeo.

Cookie	Duración	Descripción
_gat	1 minute	Google Universal Analytics sets this cookie to restrain request rate and thus limit data collection on high-traffic sites.
sync_active	never	This cookie is set by Vimeo and contains data on the visitor's video-content preferences, so that the website remembers parameters such as preferred volume or video quality.