¿Cómo proteger un sitio web WordPress?

Objetivo

WordPress es uno de los gestores de contenidos o CMS (del inglés Content Management System) más utilizados a la hora de crear un sitio web. Sin embargo, su amplia presencia (este CMS se utiliza en más del 40 % de los sitios web), así como su amplio ecosistema de extensiones y temas tanto gratuitos como de pago, pueden dar lugar a posibles vulnerabilidades. Los ciberdelincuentes aprovechan estos fallos para atacar el sitio web: robo de datos, «defacement» (alteración de la apariencia visual de un sitio web), interrupciones de servicio, etc.

Esta guía recoge una serie de pasos para ayudarle a proteger su sitio web fácil y rápidamente.

Requisitos

•     Tener un alojamiento web.
•     Haber instalado el CMS WordPress.
•     Poder acceder a la interfaz administración con las claves que recibirá durante la instalación.

Procedimiento
 

¿Cuándo debemos instalar las actualizaciones de WordPress?

En primer lugar, es importante utilizar siempre las últimas versiones tanto del CMS como de sus temas y extensiones, ya que las actualizaciones permiten corregir los posibles fallos de seguridad. Si necesita ayuda para instalar estas actualizaciones, puede consultar la versión española del blog del CMS WordPress y preguntar a las bases de datos en las que se recopilan los fallos de seguridad encontrados a través de herramientas como Exploit Database.

El principio es muy sencillo: cada vez que aparezca una actualización en su sitio WordPress, instálela. Fácil, ¿no? También puede activar la actualización automática de sus temas y extensiones.

Para poder instalar las actualizaciones, deberá asegurarse de que dispone de suficiente espacio de almacenamiento en su servidor (1 GB como mínimo). Si intenta instalar una actualización, pero no dispone de espacio suficiente, el CMS podría dejar incompleta la instalación haciendo que el sitio web dejase de estar disponible.

Aunque automatice las actualizaciones en sus temas y extensiones, deberá prestar atención a la fecha de la última actualización. Y es que, aparte del riesgo de incompatibilidad con una nueva versión de WordPress, es posible que los componentes no actualizados no tengan mantenimiento y, por lo tanto, planten fallos de seguridad.

¿Cómo configurar la actualización automática de los temas WordPress?

Automatizar la actualización de un tema es una operación muy sencilla. En la columna izquierda del panel de control de WordPress, haga clic en «Appearance» (Apariencia) y, a continuación, acceda a la sección «Themes» (Temas). Seleccione su tema y haga clic en «Enable auto-updates» (Activar las actualizaciones automáticas).

¿Cómo activar la actualización automática de las extensiones WordPress?

Es posible configurar la actualización automática de las extensiones desde la sección «Plugins» (Extensiones) en la columna izquierda del panel de control de WordPress.

¿Por qué actualizar la versión PHP del alojamiento?

Es importante utilizar la última versión de PHP disponible (siempre que sea compatible con las extensiones y temas instalados). Con cada actualización se incluyen numerosos parches de rendimiento y seguridad. Puede consultar las versiones soportadas de PHP en el siguiente enlace.

Incluimos a continuación la configuración recomendada para su alojamiento de OVHcloud:

• Entorno de ejecución: Stable64
• Versión de PHP: 8.1
• Motor: PHP
• Modo: Producción
• Firewall de aplicación (WAF): Desactivado

Si ha instalado y configurado WordPress en una versión de PHP que ya no tiene mantenimiento, asegúrese de que las extensiones que utiliza son compatibles con la nueva versión del lenguaje que desea configurar. Si no, quizá necesita cambiar de extensión.

¿Cómo actualizar PHP en un alojamiento web de OVHcloud?

Puede realizar esta acción directamente desde su área de cliente de OVHcloud. Incluimos a continuación una captura de pantalla del último paso necesario para completar esta acción (es posible seleccionar la versión PHP que quiere utilizar durante este último paso).

Tenga en cuenta que necesitará actualizar obligatoriamente su versión WordPress, así como sus temas y extensiones, antes de realizar este cambio.

Para más información, consulte la siguiente guía: Modificar la configuración de un alojamiento web.
 

¿Existen extensiones para proteger WordPress?

Esta guía recoge algunas de las extensiones WordPress más populares, que son aquellas que se actualizan con mayor frecuencia y han demostrado un buen funcionamiento hasta la fecha. Sin embargo, existen muchas otras extensiones, igual de interesantes y potentes, que no se incluyen en los ejemplos de esta guía.
 

¿Cómo configurar todo su WordPress en HTTPS?

«Really Simple SSL» detecta automáticamente los ajustes en su sitio web y lo configura para que funcione con el protocolo HTTPS, el más utilizado por los motores de búsqueda.

Tenga en cuenta que deberá haber instalado y activado previamente un certificado SSL en su alojamiento web. ¿No tiene un certificado SSL?  Consulte la siguiente guía: Gestionar un certificado SSL en un alojamiento web.

En la columna izquierda del panel de control de WordPress, acceda a la sección «Plugins» (Extensiones) y, a continuación, haga clic en «Add New» (Añadir). Introduzca «Really Simple SSL» en la barra de búsqueda y haga clic en «Install Now» (Instalar ahora). Espere unos segundos y, a continuación, haga clic en «Activate» (Activar).

¡Ya solo falta activar el certificado SSL! Para ello, solo tiene que hacer clic en el botón «Activate SSL» (Activar el SSL), que aparecerá a continuación.

El certificado SSL estará activado por defecto en su sitio web. Solo tendrá que realizar algunos pequeños ajustes, como activar la redirección 301 a través de «.htaccess»:

A continuación, instale los encabezados de seguridad recomendados para las conexiones HTTPS modificando el «.htaccess» a través de FileZilla.

También puede realizar esta operación desde un explorador FTP. Para más información, consulte la siguiente guía: Conectarse al espacio de almacenamiento de un alojamiento web.

Una vez conectado, haga clic derecho en el archivo «.htaccess» y seleccione «View/Edit» (Ver/Editar).

Abra el archivo en un editor de texto y, a continuación, copie y pegue las siguientes líneas de texto al final:

# Security Headers
Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS
Header always set Content-Security-Policy "upgrade-insecure-requests"
Header always set X-Content-Type-Options "nosniff"
Header always set X-XSS-Protection "1; mode=block"
Header always set Expect-CT "max-age=7776000, enforce"
Header always set Referrer-Policy: "no-referrer-when-downgrade"
Header always set X-Frame-Options: "SAMEORIGIN"
Header always set Permissions-Policy "geolocation=(); midi=();notifications=();push=();sync-xhr=();accelerometer=(); gyroscope=(); magnetometer=(); payment=(); camera=(); microphone=();usb=(); xr=();speaker=(self);vibrate=();fullscreen=(self);"
# End Security Headers

Deberá obtener el siguiente resultado en el archivo «.htaccess» situado en la raíz de su sitio web:

Una vez que haya copiado estas líneas, guárdelas haciendo clic en «File» (Archivo) > «Save» (Guardar). Vuelva a FileZilla y acepte la ventana emergente en la que se solicita que envíe el archivo de vuelta al servidor. De lo contrario, los cambios no se aplicarán.
 

¿Cómo activar un segundo factor de autenticación?

El uso tradicional de un identificador y una contraseña puede resultar insuficiente en términos de seguridad. De hecho, los errores son bien conocidos: elegir una contraseña demasiado sencilla, utilizar esta misma contraseña para diferentes cuentas, no renovarla con frecuencia o guardarla en un soporte poco seguro. Sin embargo, elegir una contraseña compleja no elimina por completo el riesgo de sufrir un ataque que permita al ciberdelincuente conseguir su objetivo.

Implementar un proceso de autenticación de doble factor (2FA o Two Factor Autenticación) nos permitirá reforzar la seguridad de acceso en nuestra interfaz de administración. El funcionamiento es muy sencillo: además del uso clásico de un identificador y de una contraseña, será necesario autenticarse mediante un factor adicional: código de duración limitada, autenticación en smartphone, por SMS o a través una passphrase. De este modo podrá proteger sus accesos de administrador y evitará poner en riesgo la seguridad del sitio web.
De este modo, aunque un tercero consiguiera su contraseña, la seguridad de sus accesos no estaría en peligro.

Aplicaciones como Google Authenticator, entre otras, le permitirán implementar este doble factor de autenticación.
Al crear su cuenta, aparecerá un código QR en la pantalla: solo tiene que escanearlo con su smartphone a través de la aplicación Google Authenticator. A continuación, aparecerá una nueva entrada en su aplicación que, a su vez, generará un código (por defecto de 6 cifras) que cambiará cada 30 segundos. Deberá introducir el código al autenticarse en la interfaz de administración.

Una extensión completa le permitirá gestionar diferentes modos de autenticación en su sitio web, no solo para los administradores, sino también para los usuarios con una cuenta. La extensión miniOrange de Google Authenticator está disponible en la siguiente dirección: https://es.wordpress.org/plugins/miniorange-2-factor-authentication/.

A continuación explicamos cómo activar la doble autenticación para la cuenta de administrador (accesible con una cuenta que no sea de pago):

• Conéctese a la interfaz dedicada con su cuenta de administrador.
• Haga clic en el plugin «miniOrange 2-Factor».

• Haga clic en el botón «Configure» (Configurar) que aparece debajo de Google Authenticator.

• Durante la primera etapa del proceso de configuración, seleccione la aplicación que utilizará en su smartphone para generar la serie de números. Una vez seleccionado el método, escanee el código QR con su smartphone utilizando la aplicación Google Authenticator.

Asígnele un nombre y vaya al paso 2 de la verificación introduciendo el código generado en su aplicación móvil.

• Si la operación se ha realizado correctamente, aparecerá un mensaje confirmándole que la autenticación de doble factor se ha activado correctamente.

¿Cómo evaluar la salud de un sitio web?

En la columna izquierda del panel de control de WordPress, seleccione «Tools» (Herramientas) y, a continuación, haga clic en «Site Health» (Salud del sitio). Esta sección no es una extensión, sino que está integrada en WordPress por defecto. Con ella podrá diagnosticar problemas de rendimiento y seguridad en el sitio web.

También puede analizar sus encabezados de seguridad en la siguiente dirección: https://securityheaders.com/

¿Cómo configurar Wordfence en WordPress ?

Wordfence incluye un cortafuegos y un escáner de software malicioso especialmente diseñados para proteger el CMS WordPress.

Haga clic en «Activate» (Activar) para activar esta extensión. Si todavía no tiene una cuenta Wordfence, haga clic en «GET YOUR WORDFENCE LICENSE». Será redirigido al sitio web del fabricante de la extensión desde donde podrá crear su cuenta.

Una vez en el sitio web del fabricante, seleccione la versión gratuita haciendo clic en «GET A FREE LICENSE». Seleccione la opción «I’m OK waiting 30 days for protection from new threats» en la ventana emergente.

A continuación, aparecerá una nueva ventana con la URL de su sitio WordPress. Introduzca su dirección de correo electrónico y acepte las condiciones generales de uso marcando la casilla correspondiente.

Posteriormente, aparecerá un mensaje indicándole que se le ha enviado un email.

Ábralo y haga clic en el enlace que se incluye para completar la creación de su cuenta (será redirigido a la interfaz de administración de WordPress). Una vez completados estos pasos, ya puede validar la clave de licencia introducida en los formularios.

También es posible realizar esta operación manualmente copiando la clave que se incluye en el email de inscripción.

El firewall o WAF (Web Application Firewall) entrará en modo de aprendizaje. Esta etapa puede durar varios minutos.

Mientras tanto, haga clic en «CLICK HERE TO CONFIGURE».

Descargue la copia de seguridad del archivo «.htaccess» en su ordenador y haga clic en «CONTINUE».

¿Cómo optimizar los ajustes para protegerse frente a los ataques de fuerza bruta?

En la columna izquierda del panel de control de WordPress, en el apartado dedicado a Wordfence, haga clic en «Firewall» y, a continuación, seleccione «MANAGE FIREWALL»

Posteriormente, seleccione «Brute Force Protection» en la parte inferior de la nueva página.

Preste especial atención a los siguientes ajustes:

• Lock out after how many login failures (número máximo de errores de conexión antes de denegar el acceso a un internauta): 2.
  Le recomendamos que utilice un gestor de contraseñas para evitar este tipo de error.
• Lock out after how many forgot password attempts (número máximo de intentos de restablecimiento de la contraseña antes de denegar el acceso a un internauta): 2.
• Amount of time a user is locked out (período de tiempo durante el que el internauta no tendrá acceso): 2 months (2 meses).
• Immediately lock out invalid usernames (bloqueo instantáneo de los internautas que se conectan con un nombre de usuario WordPress inexistente).
• 

Si, por error, se prohíbe el acceso a sí mismo durante la conexión al panel de control, recibirá un mensaje de correo electrónico en la dirección que haya indicado en Wordfence. De este modo podrá eliminar la prohibición y volver a conectarse.

Si necesita un sistema de protección similar en el resto de sus sitios web, le recomendamos que lea nuestro artículo sobre nuestra opción CDN Security y cómo proteger sus sitios web.

Principales buenas prácticas para garantizar la seguridad en un sitio WordPress

• Mantenga actualizado su CMS, así como sus extensiones y temas.
• Configure WordPress para automatizar estas actualizaciones.
• Asegúrese de que todas las páginas son accesibles por TLS/SSL y de que su certificado es válido.
• Active un segundo factor de autenticación en las cuentas críticas.
• Compruebe regularmente la salud de su sitio web.