☰ Menu
✖ Cerrar

Prevenir malware en WordPress

Prevenir las infecciones por malware en WordPress es uno de los puntos mas importantes para cualquier administrador. En un articulo anterior explicamos como saber si estamos infectados y si es así, como eliminar el malware de nuestro WordPress.

Evitar el malware en WordPress

Ahora en este articulo explicaremos de manera mas extendida que medidas podemos tomar para proteger nuestro WordPress contra el malware e incluso contra hackers.

No utilizar el usuario admin como nombre

El nombre ‘admin’ como cuenta de usuario es una de las vulnerabilidades mas básicas que podemos encontrar. Un atacante siempre intentara en primer lugar forzar la cuenta admin. Lo ideal es cambiarlo o si lo vamos a instalar cambiarlo ya que en el proceso de instalación nos pide indicar un nombre de usuario.

Utilizar contraseñas fuertes

Una buena contraseña es esencial para la seguridad. Es importante crear una compleja con mas de 9 caracteres y que contengan letras, números, minúsculas, mayúsculas y algún carácter especial. También es importante renovarla cada cierto tiempo, por ejemplo cada mes o dos meses. Existen plugins que pueden forzar a cambiar la contraseña cada X tiempo.

El prefijo de la base de datos, no usar wp_

Cuando instalamos WordPress, este, nos pregunta por un prefijo, que no es otra cosa si no la palabra inicial que pondrá delante de nuestras tablas en la base de datos, ejemplo wp_posts. Puedes usar cualquier otro ejemplo tblwp_.

Procura tener WordPress, plugis y plantillas actualizados

Es muy importante que WordPress este actualizado a la ultima versión. Las actualizaciones corrigen vulnerabilidades del código que los hackers podrían aprovechar.

Por lo general las actualizaciones son automáticas, aunque convine revisar de vez en cuando con la web oficial y cotejar las versiones.

Pero no solo queda en tener actualizado WordPress, si no, que también tenemos que estar pendientes de las actualizaciones de nuestros plugins y plantillas.

Por supuesto si instalamos nuevos plugins o plantillas deberíamos no usar aquellos que llevan mucho tiempo sin actualizarse, es decir aquellos que están obsoletos, ya que serán vulnerables.

Proteger el archivo de configuración de WordPress

El archivo de configuración es el fichero wp-config.php, este contiene los datos de acceso a la base de datos y su prefijo usado en las tablas. Por este motivo es de suma importancia evitar que accedan a él.

Realiza lo siguiente,cambia los permisos del fichero a 444 para  para evitar que escriban en él. Y evita los accesos añadiendo las siguientes lineas en el .htaccess para evitar que accedan a el:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

Proteger la carpeta uploads

WordPress almacena todas las imágenes y documentos subidos a nuestra web en la carpeta uploads, situada en tuweb.es/wp-content/uploads. Esta carpeta puede ser susceptible de ataques y supone un punto vulnerable.  Por defecto no se pueden subir archivos ejecutables pero un hacker podría usar alguna técnica para saltarse esta protección y subir por ejemplo un archivo .php con código que puede dañar nuestro sistema. Para evitarlo podemos crear un fichero .htaccess, al igual que en el punto anterior, y crear reglas de archivos permitidos y denegar el resto.

<Files ~ ".*\..*">
Order Allow,Deny
Deny from all
</Files>
<FilesMatch "\.(jpg|jpeg|jpe|gif|png|bmp|tif|tiff|doc|pdf|rtf|xls|numbers|odt|pages|key|zip|rar)$">
Order Deny,Allow
Allow from all
</FilesMatch>

Con este código solo permitimos varios tipos de imágenes y documentos concretos de manera que no se puedan subir archivos mas perjudiciales.

Ya que estamos con carpetas es una buena opción comprobar los permisos que tengan asignados nuestros ficheros y carpetas. Para mayor seguridad deben ser los siguientes:

  • Archivos: 644
  • Carpetas: 755

De esta manera impedimos que puedan editar nuestro ficheros o crear archivos en nuestras directorios.

Limita los accesos

Los ataques de fuerza bruta son los mas comunes. Puedes usar algún plugin como reCAPCHA y así impedir a los bots realizar peticiones masivas a nuestra web. También podríamos limitar el numero de accesos con el mismo usuario.

Instala un plugin de seguridad

Para facilitar muchas de estas tareas podemos recurrir a plugins de seguridad. Estos nos indicaran los puntos débiles y que debemos hacer para corregirlos. Algunos también tienen sistemas para detectar ataques y avisarnos. El mayor referente en este campo es WordFence. Otro interesante es iTheme Security. Y uno muy básico para analizar es  Anti-Malware de Eli Scheetz, totalmente gratuito. No recomendaría probar ningún otro mas allá de estos, al menos sin un respaldo de la comunidad.

Evita la vulnerabilidad pingback

WordPress dispone de un protocolo XML-RPC que nos permite conectarnos a ciertas aplicaciones o sistemas de sindicación de contenido. Si no usamos ninguno de los servicios que nos ofrece este protocolo lo mejor es desactivarlo. Este protocolo es una vía para posibles inyecciones de código.

Si decidimos desactivarlo  podemos borrar el archivo xml-rpc.php de nuestro directorio de WordPress. El problema es que con cada actualizacion este archivo se vuelve a crear. De modo que puedes añadir las siguientes lineas al archivo .htaccess para no tener que eliminarlo:

<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

Haz copias de seguridad

El ultimo punto y no por ello el menos importante, si no, todo lo contrario VITAL. Lo único que nos puede salvar de un desastre son las copias de seguridad. Normalmente los proveedores de alojamiento ofrecen un servicio de copia automática, infórmate.

Como alternativas puedes usar el plugins para hacer copias programadas. BackWup es muy recomendable. Nos permitirá hacer copias e incluso enviarlas a otro servidor o servicio de cloud. Las copias deberían estar fuera del servidor para mayor seguridad ya que de lo contrario estarían comprometidas.

Y hasta aquí esta batería de medidas para hacer mas seguro tu WordPress y así evitar el malware y los hackers.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *