04 jun

Seguridad en WordPress: Errores Comunes (Parte I)

escrito por 2 Comentarios publicado en Blog

Seguridad en WordPress: Errores Comunes (Parte I)
Hemos trabajado muchas cuestiones de WordPress en Pixellegancy. Pero aun no le habíamos metido mano a la seguridad en WordPress. Y ya va siendo hora de hacerlo.

Hay mucha “mitología” a cerca de la “falta de seguridad en WordPress“. Toda esta “mitología” esta anclada en las viejas versiones de WordPress que ya poco o nada tienen que ver con el CMS que es WordPress actualmente. En la actualidad, teniendo en cuenta que no existe ningún CMS ni página web cuya seguridad sea del 100%, podemos decir sin miedo a equivocarnos que la seguridad en WordPress es bastante más que buena. Y en la mayoría de los casos, los problemas vienen dados por errores humanos. Por ello, vamos a recopilar aquí el conjunto de errores más comunes cometidos por los usuarios que comprometen la seguridad en WordPress. Conocer estos errores y evitarlos, mejorará tanto el rendimiento, como la seguridad de nuestra página administrada con WordPress.

7 Errores Comunes que Comprometen la Seguridad en WordPress

Y sin entreteneros más, vamos a pasar con la lista de errores comunes que comprometen la seguridad en WordPress.

1. Usar la Cuenta del Administrador Para Publicar el Contenido

Es importante disfrazar tu instalación de WordPress lo más posible. La previsibilidad es sin duda el peor amigo de la seguridad en WordPress. Por ello, no debes de publicar utilizando la cuenta del administrador. Ya que no es nada difícil averiguar el nombre de usuario de la cuenta si se lo estás indicando en cada entrada. Lo ideal es que te crees una cuenta de editor o autor para utilizarla en la creación del contenido y reserva la cuenta de administrador única y exclusivamente para las tareas de backend y mantenimiento.

2. Mantener “admin” como usuario administrador

Seguridad en WordPress: Errores Comunes (Parte I)

Seguridad en WordPress: Errores Comunes: Mantener “admin” como usuario administrador

Posiblemente este sea el error más común y uno de los que más compromete la seguridad en WordPress. Por defecto, WordPress al instalarse asigna el nombre de usuario “admin” a la cuenta de administrador. ¿Hay algo más predecible que esto? Si unimos esto al uso de una contraseña pobre, prácticamente estamos “invitando a los hackers” a que entren en nuestra web.

3. Uso de una Contraseña Pobre

WordPress es posiblemente uno de los CMS más extendidos. No importa mucho el por qué o para que. El hecho de ser uno de los más extendidos, lo convierte también en uno de los más atacados. Simplemente porque si eres hacker, no vas a perder el tiempo tratando de acercarte a las vulnerabilidades de un CMS que no utiliza nadie o casi nadie. Lo harás a aquel CMS que te permita cosechar los resultados más amplios posibles. Pues aun con todo esto, los 2 motivos más extendidos por los que he visto sitios hackeados son los siguientes:

1. Uso de un tema de WordPress Premium “Robado“:
Tal y como suena. Muchos usuarios quieren las características avanzadas de los temas premium pero no quieren pagar por ellas. Acaban cogiendo cualquier tema premium que descargan de cualquier web de forma “fraudulenta” y por supuesto, de manera gratuita. Pero… ¿Quien sube estos temas a este tipo de páginas? No se sabe. Y eso incluye hackers que se han dado cuenta de que adquirir un tema premium, modificarlo para hacerlo vulnerable y liberarlo en internet es uno de los métodos más efectivos para hackear páginas. Por lo que desde pixellegancy siempre recomendamos adquirir los temas premium pagando por ellos (que tampoco es mucho dinero) y si se va a descargar un tema gratuito, hacerlo desde el directorio de temas de WordPress.org para asegurarse de que el 100% fiable.

2. Uso de contraseñas pobres:

Este es el segundo motivo que más veces he visto comprometer la seguridad en WordPress. Una contraseña “tonta” y simple facilitan mucho la tarea a un hacker. Así que aunque parezca un engorro, utiliza una contraseña que combine mayúsculas, minúsculas, letras y números. Y no olvides cambiarla periódicamente.

3. Mantener “wp_” como Prefijo de las Tablas

Seguridad en WordPress: Errores Comunes (Parte I)

Seguridad en WordPress: Errores Comunes: Mantener “wp_” como Prefijo de las Tablas

Ser impredecible es la mejor manera de evitar ser hackeado. Una vez más, el prefijo de las tablas por defecto en WordPress es “wp_”. Si no se cambia esto, la tabla de opciones (por ejemplo) será wp_options. Como podéis imaginar, podemos tener problemas. Esto es muy fácil de cambiar. Se puede hacer durante la instalación de WordPress, o manualmente en el archivo wp-config.php. Cámbialo por algo realmente difícil de adivinar. Y podrás despreocuparte de ello.

Atención: Si tienes WordPress ya instalado, cambiarlo no es “tan sencillo” ya que a demás del wp-config.php tendras que sustituir el prefijo manualmente en las tablas.

4. No sustituir las “salts and keys”

Seguridad en WordPress: Errores Comunes (Parte I)

Seguridad en WordPress: Errores Comunes; No sustituir las “salts and keys”


Las “salts and keys” se encuentran en el archivo wp-config.php y se utilizan para autentificar a los usuarios registrados y a sus máquinas. Antes, era fácil para un hacker robar las ​​cookies de sesión de un usuario “ingresado” y hacerse pasar por él. Pero estas frases de acceso hacen que sea casi imposible hacer esto. Por si fuera poco, WordPress tiene una página web que que te auto-genera estas frases con un nivel elevadísimo de complejidad. Basta con visitar esta web para auto-generar las salts and keys y mejorar la seguridad en WordPress. Después, copia y pega todo esto en tu archivo wp-config.php.

5. No hacer copias de seguridad

Seguridad en WordPress: Errores Comunes (Parte I)

Seguridad en WordPress: Errores Comunes: No hacer copias de seguridad


Esto en si no parece un problema de seguridad. Pero lo es en el momento que recibimos un ataque y no tenemos una copia para restaurar el sistema. Recuerda que en el fondo, ningún sitio es 100% seguro. Por lo que realizar copias periódicas es más que recomendable, necesario. Ya hablamos con anterioridad de los método para crear las copias de seguridad en la entrada: Cómo limpiar y optimizar Tu WordPress la cual te recomendamos, eches un vistazo.

6. Hacer caso omiso de las Actualizaciones de WordPress

Seguridad en WordPress: Errores Comunes (Parte I)

Seguridad en WordPress: Errores Comunes: Hacer caso omiso de las Actualizaciones de WordPress


Lo entiendo. Es un coñazo. Pero ten en cuenta que los desarrolladores del núcleo de WordPress así como los colaboradores, trabajan incansablemente para mejorar WordPress. Para hacerlo más eficaz, rápido e intuitivo. Pero no sólo se actualiza por esto. Si se encuentra un error o una vulnerabilidad, generalmente se crea una actualización inmediatamente. Lo que significa que si la actualización se realiza por alguna vulnerabilidad y no actualizas, estás en un riesgo posible de ataque.
Actualizar WordPress es fácil y simple. En la mayoría de los casos, basta un sólo clic. Hay un mito bastante extendido de que tu WordPress se va a “romper” si actualizas. Pero la realidad es que WordPress es totalmente compatible con la versión anterior. Por lo que es muy poco probable que esto ocurra. Aun asi, si no te fías, una copia de seguridad antes de actualizar te salva de todos los posibles problemas.

7. Pasando de la cache

Seguridad en WordPress: Errores Comunes (Parte I)

Seguridad en WordPress: Errores Comunes: Pasando de la cache


Si no va a utilizar el almacenamiento en caché o no sabe qué, estás aumentando el tiempo de carga (cosa que no gusta a los visitantes) de tu web de manera tonta e innecesaria. WordPress es un CMS dinámico y por lo tanto, cada vez que alguien accede a tu sitio, solicita información de tu base de datos que es devuelta al internauta en formato HTML. El uso de caché, permite guardar esa “respuesta” en HTML y servirla a visitantes posteriores, permitiendo así reducir el tiempo de carga de la web y la eficiencia del sistema. Los plugins más extendidos de WordPress para caché son: W3 Total Caché y Wp super Caché. Ambos son muy potentes y más o menos fáciles de manejar. Algunos creen que W3 Total Caché es más potente. Pero si no estás nada familiarizado con la caché y no quieres complicarte mucho la vida, lo más recomendable es que utilices Wp super Caché ya que dispone de un método reducido que apenas requiere configuración. Permitiéndote tener caché sin complicaciones.

Y con estos consejos, nos despedimos de la seguridad hasta la próxima semana en la que veremos cómo mejorar la seguridad en WordPress para defendernos de ataques de “fuerza bruta.” Nos os lo perdáis.

2 Respuestas to “Seguridad en WordPress: Errores Comunes (Parte I)”

  1. Responder Gastón GG dice:

    Muy buen artículo, solo puedo comentarte desde mi experiencia, puede ser que sea un mito que se pueda romper el WordPress en una actualización, pero lo que si me ha pasado es que luego de actualizarlo el theme deje de funcionar. Está bien, puede ser un problema de la empresa a la que le compré en su momento el thema o bien fue un tema gratuito. Gracias por el aporte!

    • Responder César dice:

      Sip. Los themes es sin duda lo más crítico. Si por ejemplo lo has modificado, no lo puedes actualizar o perderías las modificaciones. Y a veces los diseñadores/desarrolladores utilizan funciones de WordPress que han quedado obsoletas en el codex y al actualizar a lo mejor ya no está incluida y “se rompe”.

      Otra cosa que pasa muchas veces, y esta si que es “fuerte” es que los administradores de algunos servidores, esperan a las actualizaciones de los CMS más famosos para actualizar cosas en el servidor. Si dicha actualización “estropea” tu web, lo primero que hacen es preguntarte si has realizado alguna actualización recientemente. Les dices que si y ale, dicen que la culpa es tuya por actualizar.

      Tienen jeta algunos.

      Un saludo y gracias por comentar.

Dejar un Comentario

WordPress Blog

WordPress Themes
WordPress Themes ThemeForest