Dos reglas básicas para preservar la seguridad de tu WordPress

Seguridad para WordPress

Joan Vega

Llevamos años oyendo constantemente noticias sobre webs WordPress hackeadas. Hay una razón, y no es la primera que nos viene en mente: «WordPress es inseguro» ¡Pero que no cunda el pánico!

Tabla de contenidos

Es WordPress realmente inseguro?

WordPress es el CMS más popular que podamos encontrar ahora mismo. Si lo miramos en términos generales,

con WordPress se sirven el 33.5% de los websites que hay en Internet

Puedes consultar las últimas cifras de uso de WordPress en w3techs

Con una penetración de mercado como esta, WordPress se convierte en un foco de atención para los hackers.

Ser el foco de atención no significa ser inseguro.

Cuando aparece una vulnerabilidad, la comunidad WordPress se vuelca de inmediato para poner solución. Esta fuerza, facilita que los tiempos de exposición a vulnerabilidades sean muy cortos. Todo gracias a uno de los puntos más fuertes de WordPress, su gran comunidad de contribuidores. Algo insólito y muy costoso de reproducir en productos comerciales o en gestores de contenido menos reconocidos.

Si al abrir el panel admin de tu WordPress, tienes actualizaciones pendientes, … sigue leyendo!

Para avanzar hacia mayor seguridad, WordPress 3.7 introdujo las actualizaciones automáticas. Por defecto, dicho sistema de actualizaciones va incorporando, sin nuestra intervención, todas las versiones menores de WordPress core. Suficiente, pues en las revisiones menores viajan los parches de seguridad y las correcciones de errores.

Pero cuidado se trata de actualizaciones automáticas de WordPres core. WordPress lo complementamos con Plugins y Temas y por lo tanto es necesario también añadir los parches que estos puedan necesitar. No podemos olvidarnos de las actualizaciones de plugins y temas.

No llevar a cabo las actualizaciones, es en gran parte lo que convierte WordPress en una herramienta insegura.

Por tu seguridad, debes mantener actualizado WordPress, tus plugins y todos los Temas.

Dos reglas para simplificar la seguridad de WordPress

1 Elimina el miedo a actualizar

Llegados a este punto, tenemos clara nuestra responsabilidad:

Tenemos que actualizar WordPress, Plugins y Temas. OK!
No hay alternativa. OK!

Además muchos no lo hemos leído por primera vez en este artículo.
Luego …

¿Por qué seguimos arrastrando actualizaciones pendientes,

¿Por qué vemos ése número resaltado en rojo y no Actualizamos? …

… porque tenemos miedo.

¿A quien no se le ha roto algo durante una actualización? Nos pueden pasar muchas cosas:

  • Primero la posibilidad de que la actualización introduzca algún error o problema en si.
  • Pero lo más peligroso son las combinaciones «explosivas» entre Extensiones y Temas. Un cambio en una extensión puede ser incompatible con nuestro tema o con alguna de las otras Extensiones.
  • Además, si algo pasa, el trabajo de volver atrás, recuperar backups, … es tiempo, mucho tiempo.

Para evitar miedos y tener las actualizaciones a raya, necesitamos un entorno de pruebas.

Tu objetivo es conseguir:

1.VERIFICAR
las actualizaciones de WordPress
A todos nos gusta «Probar antes de comprar».
2. DE FORMA SEGURA
en una copia exacta de nuestro WordPress producción.
En un staging donde podamos verificar y comparar cambios «cara a cara» con producción.
3. y RÁPIDO
Que el proceso, crear un staging, sea sencillo, instantáneo, que no tengamos que perder tiempo en manuales ni configuraciones.
Si no nos lo ponen fácil, acabaremos por posponer la tarea para otro mejor momento (que nunca suele llegar).

Con algo así…, ok! llevaremos al día las actualizaciones.

Comprueba que tu proveedor de alojamiento te proporciona una forma simple de poder trabajar con entornos staging.

Disfruta de staging simple y rápido alojando en wetopi:

  • 1 clic para crear tu entorno staging/playground: con 1 clic y 0 configuraciones, tendrás una copia entera de tu servidor donde trabajar sin romper producción.
  • 1 clic para pasar los cambios a producción. No pierdas el tiempo, si el trabajo en staging lo quieres pasar a producción; simplemente un clic i en pocos segundos lo tendrás en producción.
  • 1 click y 0 configs para crear o restaurar un Backup. Cuando por algún motivo te enfrentas a un desastre, p.ej. un White Screen of Death, o peor, una intrusión, es entonces cuando aparece la presión. Ante una situación de presión no es fácil lidiar con manuales, configuraciones o tomar decisiones técnicas. Es ideal contar con un sistema de restauración sencillo tal como un clic.
  • Staging siempre. Incluido en toda opción, incluso en tus servidores de desarrollo GRATUITOS.

2 Procúrate una infraestructura robusta

Probablemente tengamos claro que la seguridad no termina donde acaba nuestra aplicación WordPress. Y es que el llamado stack de servicios continua por debajo de nuestro web servido con WordPress.

Son muchos los componentes y servicios que contribuyen en agrandar el ángulo del llamado Vector de Ataque!

El vector de ataque es el camino y medios que un hacker (o cracker) utiliza para conseguir acceder a nuestro ordenador o servidor.

https://searchsecurity.techtarget.com/definition/attack-vector.

Una infraestructura robusta nos ayudará a reducir el ángulo del vector de ataque. Pero, …

¿Que hace que una infraestructura sea robusta?

Si esto fuera un ensayo técnico, podríamos extendernos varios capítulos, pero brevemente podemos resumirlo en dos puntos:

  1. Actualizaciones continuadas para todos y cada un de los componentes de software de nuestro server y red.
  2. Prevención activa. No nos quedemos en «configuraciones de servicios seguras» y en «cortafuegos de red». Necesitamos añadir cortafuegos dinámicos, capaces de aprender de ataques reportados por fuentes externas y además disponer de Cortafuegos de Aplicacions (Web Application Firewalls) capaces de defender concretamente a WordPress y de aprender sobre la marcha.

Un ejemplo de infraestructura robusta la podéis encontrar en wetopi:

  • WAF (Web Application Firewalls) redundantes y externos.  La redundancia es importante pues tu web depende de ellos y es importante que siempre estén funcionando. El que sean externos libera a tu WordPress de esas extensiones «firewall» que ralentizan tu web y consumen gran cantidad de recursos de tu servidor.
  • Real-time blacklisting. El sistema de filtrado de tráfico mantiene permanentemente actualizadas listas de bloqueo de tráfico, en su mayoría relacionadas con ataques, servicios on-line abusivosmalwaresbotnets, intrusión de servers y otras actividades relacionadas con el crimen-cibernético. Esta es una de esas funcionalidades que encontrarás solo en Extensiones Premium, pero que en wetopi todos los planes incluyen.
Realtime blacklisting
Los sistemas de filtrado en Wetopi bloquean un promedio de 850.255.680 IPs
  • Aprendizaje compartido: los «Web Application Firewalls» van aprendiendo del tráfico de todos los WordPress alojados en wetopi. Si se produce un intento de ataque en una web, ese conocimiento es compartido automáticamente por todos y cada uno de los servidores WordPress.
  • Red dual. Si se produce un problema con una de tus direcciones IP de acceso, por ejemplo un ataque de tipo flood o un Denial-of-Service y se interrumpe el tráfico, tu web seguirá viéndose pues dispone de una segunda dirección alternativa.
High availability network access for WordPress
Cuando las conexiones abiertas por tu navegador contra la IP1 fallan, la segunda dirección IP2 toma el relevo.

Haz clic aquí para leer más sobre como funciona la alta disponibilidad de servicios en wetopi.

  • Disfruta de más tiempo delegando completamente la gestión de actualizaciones de servidor. Wetopi se ocupa de tus servidores.
  • Actualizaciones de servidor con «rollback» en segundos. Al actualizar tu servidor siempre se utilizan imágenes docker. Si al cambiar a una nueva versión de imagen de servidor tu WordPress deja de funcionar, el propio sistema, en segundos, restaura tu anterior versión para que no te quedes sin servicio.
  • Si ocurre un problema de seguridad. wetopi se responsabiliza y se encarga de solucionarlo.

Siente la seguridad de estar respaldado por una infraestructura robusta como la de wetopi

Leer más sobre la tecnología de wetopi.
Leer más sobre seguridad para WordPress con wetopi

Resumidamente, somos unos techies apasionados por WordPress que hemos creado Wetopi, un Alojamiento Gestionado WordPress, para minimizar la fricción a la que todo profesional se enfrenta al trabajar y alojar proyectos WordPress.

¿No tienes una cuenta en wetopi?

Prueba gratis – Descubrirás una manera eficiente de trabajar con WordPress

Incluye servidores desarrollo Gratis.
Sin tarjeta de crédito.

,

Compara wetopi con tu alojamiento actual

Date de alta, pide una migración y compara.

Regístrate y compara

Hacemos una copia de tu web gratis y sin esfuerzo por tu parte.

Sin letra pequeña.
Sin compromisos.
Sin tarjeta de crédito.