Skip to content

Consejos para tener un WordPress seguro

Actualización 2018: He actualizado el artículo con nuevos enlaces de descarga para los papers que traduje de Blogsecurity.net, ya tienen unos añitos (más de 10), pero veo que sigue llegando gente buscándolos. Lamentablemente el sitio web Blogsecurity.net ya no existe así que he eliminado los enlaces que hacía referencia a este sitio en el artículo.

A menudo la gente se queja de las constantes actualizaciones de seguridad de WordPress, viéndolas como un problema y no como la solución que en realidad son.

WordPress seguroTodos los CMS opensource tienen fallos de seguridad, absolutamente todos, pero no todos corrigen esos fallos tan rápidamente. Así que… ¿son más seguros porque lanzan menos parches de seguridad?, la respuesta es no. Simplemente nos enteramos de menos fallos a no ser que suframos un ataque o nos dediquemos a buscar scripts para explotar vulnerabilidades.

La cuestión es, que somos nosotros y no la aplicación que usemos, los que tenemos que dotar a nuestro blog de todas las medidas de seguridad que podamos. Y no limitarnos a que una instalación predeterminada sea suficiente, porque precisamente esto será la base de cualquier ataque… dar por hecho que todo está como viene de manera predeterminada.

Tener una instalación de WordPress segura previniendo muchos ataques no es tan difícil, sólo hay que seguir una serie de pasos que nos harán inmunes a muchos de los ataques conocidos o como poco hará más difícil al atacante culminar su misión con éxito:

  • Modificar el prefijo predeterminado de las tablas de la base de datos ‘wp_’ a otro que no sea fácil de adivinar.
  • Crear un nuevo usuario administrador y borrar el predeterminado (admin).
  • Restringir el acceso a directorios importantes como wp-admin, wp-includes y wp-content.
  • Actualizar inmediatamente a cada nueva versión de WordPress o de las extensiones que usemos.
  • Usar ModSecurity para añadir protección extra a nuestro blog.

Estos y otros consejos los podéis encontrar en detalle en los documentos de referencia que Blogsecurity.net ha creado para facilitar la tarea de tener un WordPress más seguro.

Estos documentos han sido traducidos al español por mí y podéis descargarlos a continuación:

Secure_Wordpress_Install_11_ES.pdf

ModSecurity_and_WordPress_ES.pdf

Published inWordPress

20 Comments

  1. Chica Seo - Enlaces de fin de semana - 07-Mar-2008

    […] Seguridad: Luego de nuestro fiasco con wordpress, este articulo es sumamente interesante para mantener seguro nuestro WordPress. […]

  2. Javyer Javyer

    Yo añadiría un consejo más: insertar un archivo HTML vacío llamado index.html en las carpetas wp-content/, wp-content/plugins/ y wp-content/themes para que así puedan ver el contenido de estas carpetas. Por si no se quiere restringir el acceso o reforzar las barreras en las principales carpetas.

  3. Samuel Aguilera Samuel Aguilera

    Es un buen consejo Javyer ;)

    Aunque si tenemos acceso al archivo .htaccess es mucho mejor poner la directiva “IndexIgnore *” en dicho archivo. Así desactivamos el listado de contenidos de cualquier carpeta en todo el blog.

  4. Javyer Javyer

    Muy útil lo que dices Samuel. Supongo que lo que yo digo es más bien para principiantes con WordPress (como yo) que no sepamos tocar “sin miedo” el .htaccess ;)

  5. SigT SigT

    El “whitepaper” de WordPress y mod-security traducidos…

    Samuel Aguilera autor del blog Agamum (para los que no lo conozcan, un buen blog sobre WordPress, desarrollo y “recursos” en general) ha traducido dos artículos bastante populares de BlogSecurity: el “WordPress Whitepaper” y el…

  6. Angelfire Angelfire

    Muchisimas gracias por la traducción, esperemos que la llegaba de la nueva versión de wordpress no traiga consigo mas problemas de seguridad y peor aún, que no aparezcan en los papers que tradujiste :P

  7. Dogguie Dogguie

    Excelentísimo!!!
    Lo bajé y lo leí. Hay algunas cosas que hasta hoy no sabia que se podían hacer para tener mucho más seguro nuestro wp.
    Gracias por la información

  8. Neri Neri

    Excelente Traducción, es bueno repasar un poco de seguridad.
    Gracias!

  9. Lab8bits » Blog Archive » Whitepaper WP y ModSecurity

    […] que es autor de Agamum, un excelente blog con mucha información sobre wordpress. Entre ellas esta “Consejos para tener un WordPress seguro” en el cual nombra algunos […]

  10. Andrés Andrés

    Primero agradecer los consejos respecto a seguridad con WordPress.

    *

    Luego preguntaros sobre un problema que tengo.

    Estoy elaborando un blog con WordPress.

    Antes de hacer publico mi blog estoy siguiendo los consejos de seguridad que he leido en relación a WordPress. Ya he realizado varios cambios.

    El útimo que me falta es respecto a proteger la carpeta del administrador (wp-admin) mediante el uso de .htaccess y .htpasswd.

    He seguido los pasos que he leido en el pdf traducido, pero no me funciona. Puedo acceder a la carpeta wp-admin igual que antes, no me pide clave previamente a entrar en la carpeta. Llego directamente a la petición de identificacion de WordPress para administrar el blog.

    En el fichero de .htpasswd he puesto el usuario y su clave encriptada con MD5.

    Y he puesto ese fichero en una carpeta llamada Seguridad, directamente en la raiz de mi pagina. Es decir en la raiz de mi pagina están las carpetas htdocs y Seguridad

    El contenido del fichero .htaccess que he puesto en la carpeta wp-admin es :

    AuthUserFile /Seguridad/.htpasswd
    AuthName “Acceso Restringido”
    AuthType Basic

    require user Andres

    *

    ¿Que tengo que cambiar para que funcione? Y bloquee los accesos a la carpeta wp-admin pidiendo una clave.

    Gracias anticipadas, un saludo

    • Samuel Samuel

      @Andrés: Como poco la ruta del AuthUserFile no la tienes bien, tienes que poner la ruta absoluta hasta el archivo. Y esa que pones ni si quiera es una ruta relativa válida.

      Tu hosting además tiene que permitir realizar estas operaciones desde el htaccess.

      Consulta con ellos si permiten hacerlo y que te ayuden a ponerlo en marcha.

  11. Andres Andres

    Muchas gracias por tu respuesta Samuel

    He conseguido saber la ruta absoluta con el siguiente mini-codigo php, que dejo por aqui por si a algun principiante como yo le sirve :

    Codigo para saber la ruta absoluta de tu servidor.

    *
    Pero sigue sin funcionarme.

    ¿A que te refieres con que el servidor donde tengo el blog (hosting) tiene que permitir realizar estas operaciones?

    Porque me temo que el servicio técnico de mi hosting gratuito (donde estoy realizando pruebas del blog antes de pasarlo a uno de pago) no tiene ni idea de este tema. Por la respuesta que me han dado a la peticion de ayuda.

    Un saludo

    • Samuel Samuel

      @Andrés: Tu hosting puede autorizar o no determinadas o todas las operaciones que quieras realizar desde el archivo .htaccess

      Si estás en un hosting gratuito, y además el soporte no sabe ayudarte… lo mejor es que no te partas la cabeza y dejes esto para cuando te vayas a uno de pago.

      Si quieres un hosting bueno bonito y barato en general, una buena opción puede ser Dreamhost.

  12. Seguridad en WordPress | Blog sobre desarrollo de software y seguridad informática

    […] Consejos para tener un WordPress seguro. […]

  13. Chema Chema

    Hola, otra forma de poner seguridad a las carpetas es desde cpanel (si tienes acceso a el), puedes bloquearlo y asignarle usuarios y contraseñas, esto es si se te dificulta editar el .htacces, lei en otro glog que tambien quitando el install.php y el instal-helper.php, de la carpeta wp-admin, es preferible tomar medidas a corregir estragos, Saludos :)

  14. turismo estetico turismo estetico

    muy buena contribucion, la luch por la seguridad nunca es facil, pero debemos mantener nuestros blogs lo mas seguro posibles, por lo menos para no facilitarle el trabajo a los hackers, ya que practicamente imposible evitar cualquier tipo de ataque. un saludo

  15. passt passt

    Muchas gracias por molestarte en traducir estos documentos, me han sido de gran ayuda.
    Un saludo

  16. LeO. LeO.

    Muchas Gracias por la info, hacia falta :D

  17. Ataque masivo de fuerza bruta para acceder a sitios WordPress | Ayuda WordPress

    […] que te activen el módulo mod_security de Apache. Para saber más sobre mod_security te recomiendo descargar la guía que hizo Samuel Aguilera, que indica las protecciones que ofrece y cómo saltárselas puntualmente, pero siempre sabiendo lo […]

  18. fail2ban: Protege tu wordpress de ataques | Apliweb

    […] alternativa no puedes aplicarla, pero si que puedes tomar medidas que te protegerán bastante bien, aquí tienes unas cuantas ideas interesantes, yo añadiría el plugin “limit login […]

Comments are closed, but trackbacks and pingbacks are open.