Hola, Harold de nuevo por estos lados. ¿Alguna vez te han hackeado tu web e inyectado código raro? Si no te ha pasado has tenido suerte y/o cuentas con cierto nivel de seguridad. Este post no es de SEO, pero creeme, un sitio hackeado puede convertirse en una granja de enlaces y perjudicar tu SEO.
Los hackers y lamers andan a la orden del día y WordPress es un buen escenario para hacer sus practicas ya que al ser tanto código el que lo envuelve y tanto código de terceros, es fácil dejar brechas de seguridad abiertas, aun sin intención y es lo que los atacantes suelen aprovechar.
También, algunos hostings dejan a la suerte del mar a sus hospedados sin brindar mucha seguridad en su servicio, y cuando algo sucede simplemente suspenden la cuenta y no les importa el impacto que esto pueda tener en ti o tu negocio.
Es por esto que esta vez quiero dar algunas pautas de seguridad que puedes tomar para minimizar el riesgo, ojo, digo minimizar, por que no hay nada 100% seguro en estos temas, pero digamos que vas a poder sortear a muchos atacantes.
Para esto vamos a usar Cloudflare, si no sabes configurar lo básico de Cloudflare, lamento informarte que este tutorial no lo cubre, pero no es nada complicado y en YouTube hay decenas de videos, aquí te dejo uno que te puede servir.
Así que manos a la obra.
Seguridad dentro de WordPress
Este es otro punto que no voy a cubrir con todos los detalles ya que es un punto y aparte, pero debes de tenerlos en cuenta para que el candado que pongas a tu web sea mucho más seguro.
Lo primero es utilizar un plugin de seguridad, existen decenas de ellos, pero en lo particular me gusta Sucuri Security, es muy pero muy sencillo de configurar y puedes monitorear la integridad de los archivos de WordPress lo cual es muy útil para que te des cuenta si se ha cambiado o inyectado código en alguno de dichos archivos.
Déjame contarte una triste historia, te la puedes saltar si lo deseas, es solo para contextualizar el uso del plugin. Después de anunciar este post en el grupo de Facebook, Hablemos de SEO, de esas malas casualidades, uno de mis servidores fue hackeado, le daba espacio a la web de un amigo, el cual no sabe nada de webs, tiene su pequeño negocio y unos universitarios como pasantías le hicieron su web, hace no se cuantos años ya, y NUNCA le dieron mantenimiento.
Pues bien, a través de dicha web, lograron meterse al server y hackeraon TODAS las webs que había. El código era muy inteligente, no dañaba la visualización de las webs ni el uso del panel de WordPress, pero no contaban con que yo tengo mi propio CMS (de uso personal) e inyectaron el código a dicho CMS también como si fuese un WordPress, y mis sitios se cayeron, lo que me alertó de que algo pasaba.
Después de un poco de tiempo revisando el server, encontré el problema y me puse a corregir. En mis webs fue fácil, conozco cada línea de código y archivo, por lo que fue fácil identificar lo que no pertenecía o estaba alterado, pero en el caso de WordPress lograba identificar el 80% quizá de lo alterado, pero con muchas dudas.
Aquí entro Sucuri, utilizando este plugin pude ver los archivos alterados y sustituir los que debían ser sustituidos y borrar los que se debían borrar entre otras cosas.
Lo segundo es utilizar un plugin contra los comentarios SPAM como puede ser Akismet (uno de los mejores) o HoneyPot Anti-Spam, es mejor Akismet, pero este no se tiene que configurar, solo se instala, activa y ya.
Tercero, te recomiendo utilizar un servicio como UptimeRobot, el cual monitorea si el sitio esta arriba o caído, enviándote un correo electrónico cuando el sitio se cae.
Mientras mas webs tienes, el monitoreo y actualización se vuelve mas complejo y las brechas de seguridad crecen exponencialmente, por lo que este servicio te va a ser de mucha utilidad para no estar monitoreando cada web manualmente.
Y con esto llego a la cuarta recomendación, aplicable solo si tienes muchos sitios, y es utilizar un servicio como ManageWP, en el cual puedes agregar tus webs y en un solo dashboard actualizar todo lo que se debe actualizar (plugins/themes), monitorear y aprobar comentarios o marcarlos como SPAM.
Me disculpo por no dar detalles de como configurar cada una de estas cosas, pero la verdad no es nada difícil, y si ya tienes cloudflare funcionando, pues configurar esto es pan comido.
Si todo esto te parece complicado y crees que lo necesitas, pero no puedes hacerlo por ti mismo, puedes contratarme si lo deseas y lo hago por ti. No tengo un servicio como tal, mientras escribía este post se me ocurrió que podía ayudar de esa forma a los que lo técnico no les va.
Puedes contactarme por el grupo de Facebook o el WhatsApp en la web www.easyback.link, ya que dicho WhatsApp lo atiendo yo personalmente o puedes escribirme a mi correo.
Ahora que ya cubriste estos puntos en WordPress, es hora de darle una capa mas de seguridad con Cloudflare.
Configuración del Firewall de Cloudflare para proteger WordPress
Ahora sigue estos pasos para proteger aún más tu WordPress.
Paso 1: Deja que Cloudflare gestione los bots, esto permite que los bots que se usan para crear comentarios SPAM o que intentan crackear el login de tu WordPress sean reducidos.
Para ellos ve a Seguridad -> Bots y activa la opción como te muestro en la imagen:
Paso 2: Pon en la lista blanca (whitelist) tu IP (solo si tienes IP fija) o tu país si no tienes IP fija, con esto le dirás al Firewall de Cloudflare que ignore las reglas para la gente en tu whitelist.
Para esto ve a Seguridad->Reglas de Firewall->Herramientas, en el buscador pon tu IP o el nombre de tu país, en Acción coloca Permitir, y en Zona elige Todos los sitios de la cuenta, como en la siguiente imagen, y luego agregar:
Paso 3: Ahora debes crear 5 reglas en el Firewall de Cloudflare, las cuales puedes generar según el dominio usando esta mini herramienta que hice.
Paso a explicar cada regla antes de mostrarte como hacerlo en Cloudflare.
- Bloquear wp-login: con esta regla bloqueas el acceso al login de tu panel únicamente para las conexiones de tu whitelist. Si en la lista blanca tienes tu país, pues solo desde dicho país podrás acceder al wp-login.
- Bloquear ataques XMLRPC: el XMLRPC de WordPress es una característica que te permite interactuar con tu WordPress de forma remota cuando tu ordenador no esta cerca, pero se ha convertido mas en un problema de seguridad que de ayuda. Con esta regla bloqueas el acceso a dicho archivo (xmlrpc.php) únicamente para los que cumplan las reglas de tu lista blanca.
- Proteger wp-admin: con esta regla bloqueas también el acceso al WP-ADMIN de tu wordpress y sumada a la primera regla, te ayudan mucho para evitar que se pueda accesar a tu WordPress.
- Bloquear peticiones a Plugins: con esta regla evitas que se hagan peticiones a los plugins en tu WordPress y que así aprovechen vulnerabilidades en plugins desactualizados o con problemas de seguridad.
- Reducir el SPAM: Esta regla ayuda a reducir el SPAM en tu WordPress, y aunque no es 100%, en mi caso me ha funcionado muy bien, frenando todo el SPAM junto a los plugins que mencioné arriba.
Ahora, si vamos a colocar las reglas en Cloudflare. Pero primero debes generar las reglas usando la herramienta que mencioné anteriormente.
Para agregar las reglas ve a Seguridad->Reglas de firewall->Reglas de Firewall y haz clic en el botón “Crear una regla de firewall” (mira la siguiente imagen):
Ahora completa el formulario así:
Nombre de la regla: aquí coloca según la regla que vayas agregando, por ejemplo “Bloquear wp-login” y luego haz clic donde dice “editar expresión” y ahí coloca la regla que generaste, en la acción coloca “Bloquear” en todas las reglas y luego haz clic en el botón Implementar regla de Firewall.
Mira la siguiente secuencia de imágenes para que se comprenda mejor:
Y repite este mismo proceso para cada una de las 5 reglas que has generado, quedando de la siguiente forma:
Una vez implementadas estas configuraciones, tu WordPress estará mucho mas seguro, reducirás el SPAM y tendrás menos de que preocuparte.
Resumiendo
En resumen, esto es lo que debes hacer:
- Instala plugin de seguridad, recomiendo Sucuri
- Instala plugin contra SPAM, recomiendo Akismet
- Configura monitor del sitio en UpTimeRobot
- Opcional: si tienes muchos sitios, mantenlos actualizados con WP Manage
- Agrega tu IP Fija o tu país en la lista blanca de Cloudflare
- Activa la seguridad contra bots de Cloudflare
- Genera las reglas personalizadas para tu dominio en tools.hablemosdeseo.net.
- Configura las 5 reglas de seguridad en el firewall de Cloudflare
Disfruta de un WordPress más seguro.
Esto ha sido todo, si te gusto el tutorial puedes compartirlo y calificarlo, si tienes ideas de mejoras, dudas o simplemente dejar tu opinión, usa la caja de comentarios. Comparte si te ha servido o piensas que le puede servir a alguien que conoces por favor, a ti no te cuesta nada y a mi me ayuda un montón y me da ánimos de seguir escribiendo.
Hasta la próxima.
!HOLA! Excelente contenido! Soy SEO aficionado y en tu blog veo muchas de mis experiencias diarias. Gracias por traer artículos de valor a esta área de conocimiento. Slds
Saludos David, gracias por comentar… que te puedo decir, todos vivimos estas cosas tarde o temprano.
elegante como siempre,
Lo voy a probar!
Saludos Hernesto, ratos de no saber de ti. Cualquier duda o inconveniente, estoy a la orden.