5. Gestión de complementos en WordPress (.org)

5.2. Complementos de seguridad

Al tratarse de un software con una gran implementación en todo el mundo, se convierte en un objetivo para piratas informáticos, bien sea mediante spam, inyección de código malicioso u otras técnicas.

Los tres principales factores que debemos proteger en WordPress (y que dependen de la persona que administra la web) son los siguientes:

• Las actualizaciones.
• Los comentarios.
• El acceso a nuestro panel de administración.

Solucionar el problema de las actualizaciones es la parte más sencilla: mantén siempre al día las actualizaciones de tu equipo.

En el apartado «Escritorio > Actualizaciones» puedes comprobar si están actualizados tanto la propia versión de WordPress como los temas, los complementos y las traducciones. Buena parte de las inyecciones de código malicioso proceden de complementos o temas no actualizados.

Realiza la actualización del motor de WordPress, complementos y temas siempre que estén disponibles, pero sigue estos consejos:

• Realiza una copia de seguridad de tu sitio web antes de actualizar.
• Procura realizar las actualizaciones durante períodos en los que tengas menos tráfico web. Dado que el sitio estará temporalmente no disponible, procura que afecte lo menos posible a las visitas.
• Comprueba la compatibilidad de tu complemento o tema antes de actualizar, para evitar que «se rompa» tu web.

Para protegerse del spam en comentarios en entradas, puedes desactivar los comentarios o instalar un complemento que mitigue el efecto de los bots spammers. Es importante protegerse de este tipo de ataques porque utilizan webs para difundir spam. Dos buenos complementos que pueden ayudar a minimizar el impacto del spam son Akismet o AntiSpam.

Para minimizar el acceso al BackEnd de nuestro sitio web, podemos realizar las tres acciones siguientes:

1. Limitar por IP el acceso al BackEnd, bloqueando los equipos que se intenten conectar al BackEnd desde otra IP o desde otro país, por ejemplo. Un buen complemento para realizar esta tarea de seguridad es IP Geo Block.
2. Limitar el número de intentos de acceso al BackEnd. Los ataques de fuerza bruta intentan loguearse en servicios web sobre la base de probar aleatoria y contantemente usuarios y contraseñas en un servicio web. Para minimizar este tipo de ataques, podemos limitar el número de veces que se intenta acceder al BackEnd durante un período de tiempo determinado (por ejemplo, cinco veces en una hora). De forma que las IP que superan el número establecido pasan a una lista de bloqueo y no pueden acceder de nuevo al sitio web. Un buen complemento para realizar esta acción de protección web es Limit Login Attempts Reloaded.
3. Cambiar la ruta de acceso al BackEnd de nuestra web. Si sospechamos que una web está elaborada en WordPress, podemos tratar de acceder a su panel de administración escribiendo «/wp-admin» o «/wp-login.php» después del nombre del dominio y presionando «enter». Si cambiamos la ruta de acceso a WordPress, eliminamos en gran medida los ataques de fuerza bruta que se puedan producir. Un buen complemento para realizar esta acción de protección web es WPS Hide Login.

Proteger tu sitio web de ataques externos es fundamental, por eso se trata en primer lugar la cuestión de la seguridad con complementos. Existe una forma de simplificar la seguridad de tu sitio web, y es confiar este aspecto a complementos que protegen de las principales amenazas, como son Jetpack for WordPress, iThemes Secutrity o Wordfence. Estos complementos atajan las principales problemáticas de forma eficaz, reduciendo el riesgo de ataques.