Seguridad en sitios Wordpress Por Admin (18/07/2016)

Wordpress es uno de los sistemas CMS tipo crealo tu mismo mas utilizado en el mundo. Tambien Wordpress es uno de los CMS con mas problemas de seguridad en el mundo. Los sitios Wordpress son continuamente atacados. ¿Por que? Son atacados porque el codigo es libre y las vulnerabilidades se conocen al poco tiempo de que las nuevas versiones salen. Ademas son millones los sitios que aunque puedan parecer distintos la estructura es similar permitiendo a los ataquentes realizar estas maniobras de forma masiva, solo deben esperar que un sitio wordpress no este actualizado, no tenga plugins de seguridad o falla de seguridad en el servidor para poder realizar tareas nefastas en el sitios. Pero no te preocupes! solo debes instalar plugins de seguridad y seguir algunos consejos para que tu sitio Wordpress sea seguro.

Lo mas importante es tener backups o almenos asegurarte que tu proveedor de hosting los realice por ti. De esta forma pase lo que pase siempre tendras una copia de seguridad y como maximo perderas algunos pocos dias de trabajo.

Wordpress en forma continua crea nuevas versiones y es de vital importancia que siempre este actualizado ya que lo mas importante de estas actualizaciones suele ser que corrigen errores de seguridad. Desde el panel de control, Wordpress permite actualizarlo en solo unos clicks.

Tu contraseñas deben tener almenos 7 letras, mayusculas y numeros. Aunque no los veas, continuamente hay robots intentando ingresar a tu cuenta. Normalmente los proveedores de hosting bloquean estos ataques luego de 50 o 60 intentos pero si tu clave es por ej. hola123, tu sitio pronto estara en problemas.

Ademas existen plugins para incluir un captcha en tu login page y evitar que robots indeseados intenten acceder. Uno de los plugins que puedes utilizar es WP login recaptcha

Instala almenos un plugin dedicado a seguridad en tu sitio Wordpress, normalmente estos plugin revisaran los permisos de tus directorios, que los scripts para subir archivos sean seguros y realizaran tareas diarias para que tu sitio se mantenga seguro.

Algunos de los plugin mas usados son iThemes Security y Wordfence Security.

Existen sitios que escanean tu sitio web en busca de malware, backdoors, blacklist y errores entre otras fallas de seguridad. Realizar estas comprobaciones puede realmente ayudar a evitar grandes problemas a futuro.

Dependiendo el panel de control que utilices puedes saber mucho sobre tu sitio desde las estadisticas y esto puede ayudarte a encontrar ataques a tu sitio Wordpress.

Desde las estadisticas puedes ver la cantidad de veces que fue vista la pagina wp-login.php, si fue vista un gran numero de veces por ej. 20.000 tu sitio esta siendo atacado por robots que intentan acceder a tu cuenta. En este caso debes contactarte con el proveedor de hosting para que ajuste las medidas de seguridad en el servidor o instalar un plugin para tener un login con captcha por ej. WP login recaptcha.

Si tienes ips que visitan excesivamente tu sitio es posible que sean robots pero debes tener cuidado porque algunos robots son de google y otros buscadores. Existen muchas herramientas online para ver de donde proviene la ip. Si la IP pertenece a China o Rusia ni dudes en bloquearla desde el panel de control.

Wordpres utiliza un archivo llamado xmlrpc.php en el directorio base del sitio. Wordpress utiliza este archivo como api para cargar contenido de forma externa al panel de control, por ej. publicar post con una aplicacion de escritorio creada por ti.

Millones de sitios Wordpress han sido atacados mediante un ataque de denegacion del servicio distribuido o DDOS culpa del archivo xmlrpc que wordpress trae activo por defecto.

Como asegurar mi sitio

• Muchos proveedores de hosting bloquean el acceso al archivo xmlrpc por robots.
• Desactivar xmlrpc desde el panel de control en Wordpress
• Borrar el archivo xmlrpc.php de /public_html
• Quitar permisos de lectura al archivo xmlrpc.php (recomendado)
• Revisa si tu sitio esta siendo atacado