¿Porqué es necesaria la seguridad en WordPress?

Lo que veo en mis WordPress día a día

Te preguntarás el “por qué” de este post. He pensado que sería interesante que vieras lo que me encuentro cada día al llegar al trabajo.

Todo el mundo sabe que la seguridad en WordPress es necesaria… ¿seguro? ¿todos son conscientes? 😉

Eres de los que piensan “tengo mi página hecha con WordPress y nunca me han hackeado”. Permíteme decirtelo alto y claro: hackear tu web, tan sólo es cuestión de tiempo. Tranquilo, esta afirmación también tiene sus excepciones siempre y cuando te tomes en serio la seguridad de tu web y la gestiones o te la gestione correctamente un profesional.

Lo primero que quiero enseñarte es lo que me encuentro cada mañana al llegar al trabajo y abrir mi correo electrónico:

Alertas email

Si no lo has hecho ya, quiero que te fijes en la carpeta “Logueos fallados” y, sobre todo, en el número que aparece a su derecha (2470). Se trata de informes de intentos de acceso a todas las webs que administro, generados por los plugins de seguridad instalados en cada uno de los sitios. Teniendo en cuenta que estos informes se recogen desde que salgo del trabajo, hasta que entro a la mañana siguiente (unas 15 horas) y que, el número de webs que administro son varias decenas, este número puede parecer incluso pequeño.

Con esto simplemente quiero mostrarte que, desde el mismo momento que una instalación de WordPress se sube al servidor de producción, está a disposición de los scripts automatizados de usuarios malintencionados y, por lo tanto, ya es atacada.

Veamos ahora el detalle de alguno de estos informes:

Detalle alertas email

Donde podemos ver la fecha y la hora del intento de logueo así como el usuario con el que han intentado acceder que en este caso es “test”.

Este es un informe del plugin “Sucuri”, para recibirlo debemos configurar bien las alertas una vez lo tengamos instalado, pero de ello hablaremos más adelante en otro post.

 

No me cansaré de repetir las nociones básicas de seguridad para tu instalación de WordPress, de momento, me repetiré con algunos consejos para evitar estos ataques:

  1. NO utilices nunca como nombre de usuario palabras como “admin”, “administrador”, “test” o el “nombre_de_tu_dominio”
  2. Utiliza contraseñas seguras de al menos 12 caracteres incluyendo letras mayúsculas, minúsculas, números y símbolos.
  3. Cambia la ruta de acceso a tu panel de control, no utilices “wp-admin” o “wp-login.php” (más adelante crearé un post sobre cómo realizar esto con plugin y sin plugin).
  4. Limita el número de intentos de logueo fallidos a tu panel de control. Utiliza un plugin específico para ello o un plugin de seguridad que disponga de esta característica.

 

 

Volver arriba