Seguridad para WordPress

Seguridad para WordPress

Joan Vega

La seguridad para WordPress es más importante que nunca y eso es debido a su gran popularidad. Según la w3techs, WordPress acapara ya el 65% de la cuota de mercado de sitios web gestionados.

Es una muestra perfecta de la fuerza que tiene el código libre y en especial la comunidad WordPress.

!Todos queremos trabajar con WordPress!

Pero éste gran volumen de instalaciones hace que, para usuarios maliciosos, sea muy rentable ponerse a rastrear con robots cualquiera de las vulnerabilidades que se van haciendo públicas acerca de WordPress, sus extensiones o temas.

Tabla de contenidos

Nuestra experiencia como especialistas exclusivamente dedicados a WordPress

En wetopi, especialistas exclusivamente dedicados al alojamiento Gestionado WordPress llevamos mucho tiempo dedicado a la seguridad. Si compilamos el conocimiento acumulado a lo largo de estos últimos años podemos concluir que un buen nivel de seguridad para tu WordPress se puede conseguir con 3 simples reglas:

Tres reglas de seguridad que desde wetopi aplicamos a todos nuestros servidores:

1. Filtrar el tráfico malicioso.
-2. Cuidar de WordPress con actualizaciones y antivirus.
-3. Tener copias de seguridad.

A continuación te detallamos cómo lo hacemos.

1 Filtrar el tráfico malicioso

Existen extensiones para WordPress capaces de filtrar tráfico de forma eficaz: WordFence, iThemes Security, All In One WP Security & Firewall, etc. Pero su gran problema es la eficiencia.

WordPress no está diseñado para filtrar tráfico.

Si quieres que tu WordPress funcione rápido no puedes darle una tarea tan intensiva como la de gestionar el control de todas y cada una de las peticiones de tráfico.

Desde wetopi nos ocupamos de esta tarea compartiendo cortafuegos perimetrales especializados en seguridad para WordPress:

Seguridad compartida para WordPress

En wetopi disponemos de nuestro propio sistema de seguridad, Bunker Guard, diseñado con el objetivo de concentrar reglas y decisiones procedentes tanto de nuestra red de servidores WordPress como de fuentes externas dedicadas a la seguridad.

El filtrado y bloqueo de tráfico se realiza en los cortafuegos frontales antes de llegar a tu servidor WordPress. Además, estos cortafuegos son redundantes en cada una de las redes de acceso.

Red redundante: cuando las conexiones del grupo de navegadores que apuntan a la dirección IP1 fallan, la segunda dirección IP2 se usa para reabrir nuevas conexiones y atender sus solicitudes.

Bunker Guard, analiza el tráfico dirigido a todos los servidores WordPress.

Adopta medidas de seguridad dinámicas, en base a las peticiones, y proactivas, de experiencias previas procedentes de fuentes externas. 

Lo más interesante es que este conocimiento se comparte con toda la red de servidores WordPress. En otras palabras, cuando se identifica y bloquea un ataque a una web WordPress, esa regla de filtrado pasa a proteger a todos y cada uno de los WordPress alojados en wetopi.

Otro punto clave es que wetopi sirve tráfico exclusivamente WordPress.

Si un rastreador malicioso hace peticiones para ver si tu sitio web usa Joomla, directamente lo bloqueamos.
¡En wetopi solo servimos WordPress!

Servir exclusivamente tráfico WordPress es una de nuestras ventajas competitivas.

Blacklisting procedente de fuentes externas

Gracias a All Cybercrime IP Feeds by FireHOL en wetopi mantenemos permanentemente actualizadas listas de bloqueo de tráfico. Estas listas negras en su mayoría están relacionadas con ataques, servicios online abusivosmalwaresbotnetsintrusión de servers y otras actividades relacionadas con el crimen cibernético.

Las listas negras, «blacklists», se actualizan cada minuto llegando a bloquear un promedio de 850.255.680 IP’s

Mapa de Seguridad para WordPress mediante bloqueo de IP a nivel mundial

Mitigación de ataques DDoS

Los centros de datos de wetopi, disponen de cobertura para la mitigación de ataques DDoS mediante la utilización de tecnología de filtrado selectivo.

El método selectivo filtra el tráfico recibido dejando pasar únicamente los paquetes legítimos hacia los servidores WordPress, bloqueando el tráfico ilegítimo.

Fase de análisis DDoS

Para la detección de ataques, se monitoriza en tiempo real el tráfico enviado por los routers. Se realiza una continua comparación de las firmas de los ataques. Si se detectan similitudes, la mitigación se activa automáticamente.

El análisis de las firmas, se lleva a cabo en diversos protocolos, tales como: DNS, ICMP, «IP fragmentation», «null» y «private», «TCP null», RST, SYN, ACK, UDP, …

Fase aspiración DDoS

Para poder canalizar un ataque de denegación de servicio es necesaria una gran capacidad de red que soporte la carga. Gracias a la red de 15 Tbit/s de nuestro proveedor, la infraestructura es capaces de absorber una gran cantidad de tráfico en los ataques. La capacidad total de mitigación es superior a 4 Tbit/s.

Fase mitigación DDoS

La mitigación son los medios y medidas adoptados para atenuar los efectos negativos de un ataque DDoS en un servidor. Mitigar consiste en filtrar el tráfico para dejar pasar únicamente el tráfico legítimo.

La mitigación combina distintos filtros, cada uno de los cuales cumple una función específica. Esta tecnología desvía el tráfico para analizarlo y dejar pasar solamente el tráfico legítimo.

2 Cuidar la seguridad de WordPress

Escaneado de virus y malware

En wetopi analizamos todos los días los archivos de tus servidores WordPress para identificar código malicioso.

Incluso en los servidores de desarrollo gratuitos. !Prueba ya!

Puedes acceder al registro de logs con un solo clic en «Virus scan logs», botón que encontrará en el menú de opciones dentro de cada uno de tus servidores WordPress.

Open WordPress Malware scanner logs

Al acceder a «Virus scan logs» te aparecerá una ventana con la lista de todos los análisis de virus realizados:

listado escaneo de malware

Si se detectan alertas, los usuarios administradores del servidor WordPress reciben un correo electrónico.

Te ayudamos a actualizar WordPress

Nadie pone en duda la necesidad de actualizar WordPress y sus extensiones y temas. Pero si no lo hacemos muchas veces es por una razón sencilla. Las actualizaciones pueden romper nuestro sitio WordPress.

Desde wetopi, como especialistas en alojamiento WordPress, te ayudamos a eliminar el miedo a actualizar.

Muy sencillo. En cualquier instante, con un simple clic, puedes clonar tu servidor WordPress. Con eso creas un entorno staging de pruebas donde puedes experimentar sin romper nada.

Desde el entorno de pruebas podrás verificar las actualizaciones que consideres delicadas o que puedan causar conflictos.

Te mostramos las actualizaciones pendientes

Si manejas varios sites, te resultará una gran ventaja conocer de antemano donde tienes actualizaciones pendientes.

Desde el panel wetopi verás el número en circulo rojo de aquellos sites con actualizaciones WordPress pendientes.

Indicadores de actualizaciones de seguridad para WordPress

Recuerda.
Si no actualizas Extensiones, Temas, y el propio Core de WordPress, estás abriendo brechas de seguridad.

Tu servidor WordPress pasa a ser vulnerable a amenazas y ataques públicos y que están en conocimiento de todos.

¡Es equivalente a dejar las llaves de casa en la puerta!

Garantía «Libre de hackeos»

Por si no fuera suficiente todo lo anterior, en wetopi nos comprometemos a solucionar cualquier problema de seguridad de forma gratuita e inmediata con la garantía «Libre de hackeos» incluida en nuestra política de servicio.

Para acceder a la cobertura de esta garantía es preciso:

  1. Disponer de un plan que incluya servidores de tamaño «Medium» o superior.
  2. Adoptar las precauciones básicas para protegerte a ti mismo y tu sitio web de cualquier contenido perjudicial o dañino: es necesario mantener al día las actualizaciones que contengan parches de seguridad en Extensiones, Temas, y Core de WordPress.

No te olvides de la seguridad de tu servidor

Probablemente ya sabes que la seguridad no termina en ese directorio del servidor donde tienes alojado tu WordPress. Y es que el llamado stack de servicios continua por debajo de tu web servido con WordPress.

Son muchos los componentes y servicios que contribuyen en agrandar el ángulo del llamado Vector de Ataque!

En wetopi nos ocupamos de la seguridad de tu servidor. Al poder trabajar exclusivamente con WordPress podemos de forma eficiente automatizar todo el proceso de actualización de tu servidor. En este post hablamos con detalle de las dos reglas básicas para preservar la seguridad de tu WordPress tratadas en este apartado.

3 Gestionar las copias de seguridad de WordPress

Disponer de una buena estrategia de backups es indispensable. Es cierto que ya nadie lo cuestiona, pero no es tarea sencilla y menos aún hacerlo correctamente, es decir:

  • con backups recurrentes,
  • que los puedas verificar y
  • no menos importante, que queden almacenados fuera del servidor, a ser posible fuera del centro de datos.

En wetopi, desde el instante en que arrancas tu servidor WordPress, ya tienes tu plan de backups en marcha con:

  • copias diarias cada noche
  • copia rápida en servidor (snapshot)
  • copia incremental en centro de datos.
  • réplica de la copia incremental en Amazon S3.
  • cualquier copia la puedes restaurar con un simple clic en un servidor de staging
Copias backup para la seguridad de WordPress

Resumidamente, somos unos techies apasionados por WordPress que hemos creado Wetopi, un Alojamiento Gestionado WordPress, para minimizar la fricción a la que todo profesional se enfrenta al trabajar y alojar proyectos WordPress.

¿No tienes una cuenta en wetopi?

Prueba gratis – Descubrirás una manera eficiente de trabajar con WordPress

Incluye servidores desarrollo Gratis.
Sin tarjeta de crédito.

, , , ,

Compara wetopi con tu alojamiento actual

Date de alta, pide una migración y compara.

Regístrate y compara

Hacemos una copia de tu web gratis y sin esfuerzo por tu parte.

Sin letra pequeña.
Sin compromisos.
Sin tarjeta de crédito.