WordPress es sinónimo de potencia.
No hay nada que no se pueda hacer con este CMS y con las últimas actualizaciones de WP 5 en adelante de verdad que da gusto usarlo.
Peeeeero….
Hay detallitos que deben pulir y uno de ellos es la seguridad en WordPress.
A finales del año 2020 pasado y principios del 2021 casi todos mis sitios me habían estado enviando correos de intentos de acceso fallido.
Pura fuerza bruta intentando adivinar la contraseña.
(En par de casos atinaron el user y no, no era «admin»).
Intentos de acceso fallido en WordPress ¿Cómo se resuelve?
Fácil.
Con un plugin de seguridad para WordPress que límite los accesos fallidos y bloqueé las IPs desde donde intentaron acceder.
Limit login, loginizer y compañía son muy efectivos.
¿Que pasa cuando parece que el agresor tiene IPs ilimitadas?
Si los ataques continúan entonces hay un par de pasos mas
El primero es cambiar la url de acceso y esto es un fallo de seguridad en WordPress que es bastante grave.
Ya que por defecto todas las instalaciones nuevas tienen acceso al escritorio desde la misma url y es tudominio.com/wp-admin
Eso deja muy vulnerable tu sitio.
Puesto que hasta el jaquer más huevón de la historia sabrá que esa url es la que debe atacar.
Se resuelve fácil y muy fácil.
Instala WPS hide login un plugin que no toca tu BDD ni el .htaccess para cambiar la url con la que ingresas a tu WordPress (no uses /login/ que trae el plugin por defecto como url de acceso).
¿Siguen los intentos de acceso fallido en tu WordPress? xmlrpc.php te puede estar liando
Si te siguen atacando es porque WordPress tiene otro fallo de ciberseguridad y es que no han eliminado el xmlrpc.php
Un puto archivo que en tiempos de los dinosaurios servía para publicar artículos desde tu correo.
Hoy solo sirve para publicar desde la app para iPhone.
Y deja la puerta abierta para que tu web sea atacada con intentos de acceso.
Bloqueando/inhabilitando el archivo xmlrpc.php para mayor seguridad en WordPress
Debes tirar del .htaccess para solventar el problema.
Pega este código al final
# bloquear xmlrpc.php
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>
Con eso ya no te van a seguir atacando.
Ya que (a menos que tengas un virus infiltrado en tu navegador) no podrán adivinar tu nueva url de acceso.
Y no tienen acceso remoto.
¿Tiene algún problema bloquear el xmlrpc.php de WordPress?
Todo tiene un precio…
En este caso el precio es que plugins como jetpack van a dejar de funcionar.
Así que debes investigar si alguno de tus plugins usa el xmlrpc.php antes de bloquearlo por completo (se pueden bloquear módulos)
¿Cómo se pueden usar las copias de seguridad de WordPress para eliminar virus tras un ciberataque?
Otro haz bajo la manga, que puedes mantener en tu haber para librarte de todo mal, son las copias de seguridad de WordPress.
Son fáciles de hacer, hay plugins para hacer copias de seguridad en WordPress hasta decir basta que las hacen en un par de clics.
Tienen mucha utilidad a nivel de seguridad y te voy a mostrar cómo usarlas. Pero antes… ¡Un poco de contexto!
- ¿Que buscan los hackers a la hora de atacar tu web?
- ¿Que hacen una vez han logrado vulnerar tu seguridad?
- ¿De qué otros fallos de seguridad te debes cuidar?
Comencemos en el primer punto.
1-) ¿Qué buscan los hackers a la hora de vulnerar tu seguridad en WordPress?
Tráfico.
Esa es la respuesta corta.
La mayoría solo quiere tu tráfico para poder monetizar ellos con él.
Si te fijas tiene todo el sentido del mundo.
¿Por qué?
Porque pedirte un rescate por la web es un delito.
Pero..
Robar tu tráfico y luego monetizar ellos con sus propios sistemas de ads ya es legal en toda norma.
2-) ¿Qué hacen una vez han logrado vulnerar la seguridad en WordPress?
Son dos grandes líneas las que más se marcan en este punto.
Una vez tienen acceso a tu web pueden hacer lo que quieran, pero estas dos que te voy a mencionar son las que más se repiten:
- Crear páginas en tu sitio.
- Redirección por JS
Cuando crean páginas en tu sitio consiguen tráfico, enlaces, dinero (monetizando con sus propias ads).
Cuando redireccionan por JS (Java script para los no-iniciados) te roban el tráfico así sin más.
Ambos métodos son muy ingeniosos a la hora de vulnerar la seguridad en WordPress.
Y es que si tienes varios nichos te va llevar un rato darte cuenta que tienes mil páginas creadas que no has montado tú, o que te están robando el tráfico (la Redirección por JS espera un tiempo antes de redireccionar al usuario).
Lo que hace que sean ingeniosos es que en ninguno de los dos casos pierdes tráfico.
Solo ingresos.
Y si le va bien a los otros nichos te va costar un huevo notar que algo anda mal con un par de sitios.
3-) ¿De qué otros fallos de seguridad en WordPress te debes cuidar?
Los plugins.
Son una maravilla.
En pocas palabras son el éxito detrás de WordPress como CMS.
Puedes construir un sitio entero a punta de plugins y con pocos conocimientos de programación
Pero son una espada de doble filo
La razón es que pueden fallar por zero-day exploit.
Esto es «ataque de día cero».
¿Qué coño es eso y qué tiene que ver con la seguridad en WordPress?
Fallos que el mismo desarrollador no sabe que existe.
Y si le pasa a Windows todo poderoso imagínate que si no le va pasar a un desarrollador de plugins.
Los hackers son muy listos.
Personas súper inteligentes que en lugar de curar el cáncer con ese talento han decidido robar usando el ordenador.
Y están muy al pendiente de los plugins con más instalaciones para aprovechar sus zero-day exploit.
Cómo si eso fuera poco mira esto:
Los mismos plugins pueden tener Bugs y fallos que rompen por completo tu sitio web (destruyendo la base de datos por ejemplo).
Esto es incluyendo los plugins de seguridad en WordPress (así que ten cuidado con «el remedio» porque puede ser peor que la enfermedad).
Tal ha sido el caso de yoast seo que le ha jugado una mala pasada a muchos colegas en varias de sus actualizaciones.
Así que no solo son los hackers.
También puede ser el mismo proveedor del plugin el que te deje el patio to’ liao’ y pariendo por recuperar tu sitio.
¿Qué se puede hacer para solventar estos problemas de seguridad en WordPress?
Si quieres mejorar tu seguridad en WordPress debes tirar de las copias de seguridad de tu sitio web.
Estos 3 fallos que mencioné tienen su raíz en la base de datos.
Con cambiar la base de datos actual por una copia de seguridad anterior a la fecha estimada que se presentó el problema habrás resuelto todo.
ay pero mi copia de seguridad es muy vieja, voy a perder parte del trabajo
Tú debes decidir si prefieres perder parte del trabajo hecho o seguir perdiendo tráfico y posiciones en las SERPs mientras intentas conseguir una solución al problema….
¿Cómo es una buena gestión de copias de seguridad de WordPress.
San Google te regala 15GB de almacenamiento en la nube por crear una cuenta Gmail.
Crea una cuenta donde solo vayas a guardar copias de seguridad de tus sitios.
¿Cuando hacer copias de seguridad en WordPress?
Cada vez que vayas a realizar un cambio importante en la web:
- Cambios en diseño y maquetación.
- Arquitectura de URLs.
- Publicación masiva de contenido.
- Etc.
Tras cada gran cambio debes actualizar la copia de seguridad que tienes almacenada del sitio web.
Esto ha sido todo por hoy, espero que este post te haya sido de utilidad y si lo fue entonces compartelo en redes sociales con tus colegas y si no, pues igual ¡comparte!