Como proteger mi blog WordPress Plugins y Trucos

por | 21 noviembre, 2016

proteger wordpress htaccess

¿Sabías que la mayoría de páginas web WordPress están siendo sometidas constantemente a ataques de diversos tipos? Es posible que no pero hay una razón lógica para los hackers en atacar los blogs de WordPress y es que el 20% de las páginas en internet lo utilizan esto hace que si consiguen romper la seguridad de una tengan acceso a muchas. El tener acceso a muchas webs lo hace muy atractivo y es por ello que se encargan de realizar distintos tipos de ataques. En privatize ya sabes que nos importa la seguridad y como proteger mi blog de WordPress es uno de los temas mas pasados por alto y más importantes.

Los ataques tu wordpress un gran problema.

Existen distintos motivos por los preocuparse en la seguridad de tu WordPress, no solo el hecho de verte sometido por ejemplo a un ataque por fuerza bruta ya puede alertarte si no que encima se están consumiendo recursos de tu máquina. Si tienes una web montada en Amazon Ec2 el que ataquen tu web de WordPress intentando loguearse constantemente en la página wp admin va a hacer que el uso de CPU y RAM aumente esto es obviamente un sobrecoste muy grande. Si tu web está en un servidor compartido como BlueHost o Godaddy lo más probable es que te encuentres de repente con limitaciones cuyo motivo no entiendas puede que justamente te estén limitando porque hay hackers intentando obtener acceso a tu WordPress. Generalmente cuando Bluehost o Godaddy limita tu web esta carga más lento ya que limitan el uso de CPU por lo que si el tráfico de tu página es algo puede que tengas problemas para dar un servicio normal, eso sí quedarás fuera de dar un servicio excelente por la limitación y tendrás que preguntarte ¿Qué hago para evitar esto?

Protege tu wordpress y evita limitaciones

A continuación, queremos comentarte que puedes hacer para evitar este tipo de situaciones difíciles en las que estas siendo atacado constantemente. Además, todos estos consejos pueden llevar a un abaratamiento de tu factura mensual o a evitar la penalización por exceso de uso CPU o I/O. También, tienes que descubrir si ya te han infectado. El modus operandi de los crackers es romper la seguridad de tu cuenta de WordPress o de la base de datos asociada y una vez tiene acceso a la misa introducir código malicioso que les permita gestionar tu Web de forma remota.

NOTA1: Lo más normal es que ni te enteres de que has sido infectado. Piensa bien eres un hacker con acceso a una web ¿Qué quieres? Asegurarte el acceso a la misma para siempre, por lo que no vas a tocar nada que un usuario con conocimientos medios pudiera descubrir, no vas a modificar nada que pudiera hacer saltar las alarmar como crear una nueva entrada o modificar la web. El hacker va a intentar seguir manteniendo la posibilidad de acceder hasta que quiera darle un determinado uso. Es importante que sepamos esto pues puedes creer que estas protegido o seguro porque no hay nada raro en tu web el primer punto que comentamos puede hacer un escáner de todos los archivos de tu instalación incluido el tema de tu web.

NOTA2: Ni que decir que tienes que tener tu Wordpres e importante todos los plugins actualizados, sobre todo WordPress. Deberías de saber que muchos hackers escanean que tipo de plugins tiene tu página porque conocen vulnerabilidades de los mismos. Una forma de protegerse es tenerlos siempre actualizados y otra buena es simplemente tener cuantos menos mejor.

 

El mejor plugin de seguridad WordPress

wordfence protege tu wordpress

Existen una gran variedad de plugins de seguridad, uno de nuestros preferidos es Wordfence, no es solo por ser uno de los más utilizados explicamos los motivos.

Sitio web: https://www.wordfence.com/

Wordference te permite como habíamos comentado escanear tu instalación de WordPress y tu tema que sin importar si es gratuito o no deberías de vigilar. Además, te permite una de las opciones que personalmente más me atraen puedes ver en vivo información de los robots que están navegando en tu página y créeme te vas a sorprender muchísimo. Verás desde los típicos y beneficiosos robots de google como intentos desde IPs extranjeras intentan acceder directamente a tu página de login y tratan de loguearse. También, y no te asustes vas a ver como hay muchas peticiones a páginas que tú no tienes ni siquiera creadas. Pues bien, Wordfence te permite bloquear las Ips maliciosas así como el plugin bloquea automáticamente aquellas que ya sabe son maliciosas. En 1 semana de uso podemos decir dos cosas que nuestra web está limpia, por el momento, y que hay intentos de ataques todos los días. Este es un plugin que quieres tener. Una de las opciones más interesantes es que limita el número de veces que una IP puede introducir la contraseña sin ser bloqueada podemos hacer que tras el primer fallo los atacantes queden sin poder acceder durante 60 días o bloquearlos para siempre claro.

Una cosa es cierta es un puglin con opciones avanzadas por lo que tendrás que tener cuidado de lo que haces y solo actuar en ciertas cosas en las que estes seguro. No te pongas a bloquear todos los robots muchos de ellos como los de google son buenos e intentan indexar tu página web.

 

Modifica tu .htaccess si usas apache y protege tu wordpress

Nota: Mucha gente cree que al bloquear robots en su robots.txt puede evitar ataques a su web, esto es falso. El archivo robots no es más que un fichero de intenciones, me explico.

Bot que quiere entrar: “Hola quiero entrar a la web”

Tu Web: “Tengo un archivo robot.txt para que sepas si eres bienvenido o no”

Bot que quiere entrar: “No pienso ni leerlo voy a entrar de todas formas…”

¿Que quiero decir con esto? que el archivo robots.txt  no sirve de nada. Y para acceder al archivo .htaccess precisarás de permiso por parte de tu servidor de hosting (No suele a ver problemas en ofrecerlo).

El famoso archivo .htaccess del que si eres un usuario normal probablemente ni hayas escucha hablar. Este archivo ejecuta una serie de instrucciones previas a que la página sea servida tiene muchos usos desde re direccionar el tráfico de www a non www como bloquear peticiones extrañas a tu web, esto es justamente lo que vamos a tratar, queremos evitar que nos envíen peticiones extrañas a nu

 

Modifica tu .webConfig si usas Windows server

Más de uno que entre al post dirá gracias alguien que por fin no se olvida de los que usamos Windows para hostear, los menos. Bien lo más probable si estás en este caso es que hayas estado buscando en internet y no hayas encontrado nada más que reglas para el .htaccess pero por desgracia esto no funciona para tu ISS 7.5 o 8 entonces te quedas igual y no sabes que hacer, bien ahora hay una solución. Y es bastante sencilla, una traducción de las reglas de htaccess a webconfig. En lugar de pegaros un link de cómo hacerlo a mano tenemos una herramientas que nos puede ayudar muchísimo.

En el instalador de aplicaciones de busca e instala URL Redirect, aunque el nombre no es muy indicativo, una vez instalado tendremos que cerrar y volver a abrir ISS, después de eso ya tendremos en el panel de nuestra web la aplicación instalada.

url rewrite para protegerte

Hacemos doble click sobre la misma y en el menú de la derecha click en importar, en la nueva ventana debemos de buscar el archivo .htaccess que hemos formateado anteriormente como si fuera para nuestro servidor apache y ya estamos listos para proteger nuestro blog WordPress. Hacemos click en importar de nuevo bajo la barra del archivo y este se transformará en una serie de reglas, aplicamos y ya tenemos nuestro servidor protegido.

Es posible que necesites realizar alguna modificación para que se importen todas las reglas ya que algunas no son compatible totalmente, en tal caso vas a necesitar más información y te puedo asegurar que da para una información mucho más extensa aun así lo más corto que he podido encontrar para poder seguir ayudando es esto: https://www.iis.net/learn/extensions/url-rewrite-module/creating-rewrite-rules-for-the-url-rewrite-module

 

Conclusiones

He intentado comprimir la información tanto como me ha sido posible para ofrecer información certera y rápida, y esto a quedado un poco largo. También, quería ofrecer ayuda a los que tienen servidores windows que la merecen. Recordarles una vez más la importancia de proteger tu cuenta de wordpress de ataques hackers, fuerza bruta y otras acciones indeseadas. Este tema da para muchos posts y en uno solo es imposible tratar como proteger tu blog al 100%, han faltado cosas vitales como una ispección manual de archivos para comprobar posibles infecciones, hablar el ssl para evitar man in the middle en nuestra página de login etc… Todo ello y mucho más lo podréis ir encontrando en el futuro en nuestra web!

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *