WordPress es el gestor de contenidos más usado en el mundo. El 35% de todas las páginas web emplean WordPress y, de entre todos los gestores de contenidos, su cuota de mercado supera el 60%.
¿Estos datos convierten a WordPress en un CMS seguro? Estos datos convierten a WordPress en el líder del mercado y en un objetivo más susceptible de ser atacado. Una web basada en WordPress es extremadamente segura pero no infalible.
Los ataques más habituales que recibirá tu instalación de WordPress son los llamados ataques de fuerza bruta, basados en el método de prueba y error, en los que un programa informático prueba de manera sistemática todas las combinaciones posibles de username y password hasta conseguir acceder a tu panel de administración.
En estos ataques se combinan listados que contienen los usernames y passwords más utilizados junto a miles de términos incluidos en diccionarios.
Cuando un bot consigue tus datos de acceso… ¡voilà! control total sobre el sitio web.
En este artículo encontrarás cinco medidas básicas y eficaces para proteger WordPress de un ataque de fuerza bruta. Con cada una de ellas añade una capa más de seguridad a tu instalación.
1. Crea un nuevo usuario
Las auto-instalaciones de WordPress generan por defecto un primer usuario llamado «admin». Crea un nuevo administrador y asígnale un nombre diferente a tu propio nombre, apellidos, fecha de nacimiento… vamos, que no tenga nada que ver contigo.
El nombre de usuario elegido tampoco debería ser el dominio o cualquier otro término relacionado con el propio sitio web. Una vez creado el nuevo usuario recuerda eliminar el usuario «admin» original.
2. Protege los nombres de usuario
Las variables id y author son públicas por defecto en las instalaciones de WordPress. Para entendernos, escribe en el navegador www.tudominio.com/?author=1 y aumenta el número consecutivamente ¿Aparecen tus usuarios?
Puedes evitar que tus usuarios aparezcan en la búsqueda del navegador redirigiendo las páginas de autor y utilizando la variable user_nicename en lugar del username.
2.1. Cómo redirigir las páginas de autor hacia la página de inicio
Accede vía FTP al servidor en el que está alojada tu página web y edita el fichero .htaccess. Entre las etiquetas mod_rewrite añade las siguientes tres líneas:
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*) [NC]
RewriteRule ^(.*)$ http://%{HTTP_HOST}/? [L,R=301,NC]
Este es el fichero .htaccess básico de WordPress y una vez añadidas las tres líneas mencionadas el fichero .htaccess quedaría así. Ojo, es probable tu fichero .htaccess contenga más información y también quieras conservarla.
2.2. Utiliza la variable «user_nicename»
Accede a la base de datos de tu instalación mediante phpMyAdmin, busca y selecciona la tabla wp_users. En la tabla wp_users (también puede llamarse tu_prefijo_users) encontrarás los siguiente campos:
- user_login – el nombre de usuario con el que haces login en tu instalación de WordPress.
- user_nicename – este es el campo que debes completar con un nombre diferente al que has elegido para el campo user_login.
Una vez añadida la variable user_nicename: botón guardar y ¡hecho! De este modo, aparecerá el «nombre bonito» cuando un bot o alguna persona quiera conocer tu nombre de usuario para el login a través del navegador.
3. Genera un password fuerte
Revisando los passwords más usados en 2018 parece que no hemos aprendido nada. Tu password no debe incluir datos relacionados contigo, con el propio sitio web o emplear términos incluidos en diccionarios.
Un password fuerte contiene: más de 8 caracteres, mayúsculas, minúsculas, números y símbolos. B€-Crea7ive.
4. Plugins, theme y WordPress siempre actualizados
WordPress es un CMS de código abierto. Cada vez que es actualizado se publican todas las mejoras de la nueva versión; esto implica que en ese momento también son públicas las vulnerabilidades de la versión anterior.
Este hecho obliga a mantener WordPress siempre actualizado. Las versiones antiguas del theme y plugins también son una puerta abierta para los ataques, ergo, siempre actualizados.
5. Limita el número de logins
Cuando recibes un ataque de fuerza bruta un software intenta acceder a tu instalación cientos de veces por minuto. El plugin Limit Login Attemps bloquea temporalmente las IPs que intentan acceder a la instalación recurrentemente.
Con este clásico plugin puedes configurar el máximo número de intentos permitidos y el duración del bloqueo a la insistente IP. Es un plugin ligero muy recomendable.
¿Quieres añadir más capas de seguridad a tu instalación de WordPress?
El Centro Criptológico Nacional pone a tu disposición la Guía CCN-STIC 460 Seguridad en WordPress. Un texto de más de 90 folios que guía al usuario en los procesos de seguridad relativos al CMS y expone buenas prácticas de uso.
Un recurso excelente para fortificar tu instalación de WordPress.